Marriott, Samsung и Edge в одной атаке: всего один ZIP-архив может стоить вам контроля над компьютером
NewsMakerОт невинного клика до перехвата всех ваших действий проходит меньше минуты.
Группа BatShadow, связанная с Вьетнамом, начала новую вредоносную кампанию, нацеленную на соискателей вакансий и специалистов в сфере цифрового маркетинга. Злоумышленники маскируются под рекрутеров и рассылают потенциальным жертвам поддельные документы, якобы содержащие описание должностей. При открытии этих файлов запускается цепочка заражения, в результате которой на устройство устанавливается ранее не описанный вредонос под названием Vampire Bot, написанный на языке Go.
Распространение начинается с ZIP-архива, содержащего приманку в виде PDF-документа и вредоносного исполняемого файла, замаскированного под PDF. При активации поддельного ярлыка запускается PowerShell-скрипт, который подключается к удалённому серверу и загружает псевдоописание вакансии, оформленное как документ от имени отеля Marriott. Одновременно скрипт загружает ZIP-архив с компонентами XtraViewer — утилиты удалённого доступа, которая, предположительно, используется для закрепления в системе.
Жертвы, попавшие на поддельную страницу, получают сообщение о якобы неподдерживаемом браузере и требовании открыть сайт в Microsoft Edge. При согласии открывается ещё одна заглушка, заявляющая о «неисправности онлайн-просмотра» и автоматической отправке файла на устройство. Загружается ZIP-архив с исполняемым файлом, который внешне имитирует PDF, вставляя пробелы между расширениями «.pdf» и «.exe».
Финальным этапом является установка самого Vampire Bot — вредоносного ПО, способного собирать системную информацию, делать скриншоты с заданной периодичностью, передавать собранные данные на удалённый сервер и выполнять команды злоумышленников. Адрес управляющего сервера маскируется под домен, стилизованный под подразделение компании Samsung, что должно затруднить выявление активности.
Признаки, связывающие BatShadow с Вьетнамом, включают IP-адреса, ранее задействованные в атаках, исходивших из этой страны. Кроме того, подобные кампании часто нацелены именно на маркетологов, а украденные данные используются для захвата бизнес-аккаунтов в соцсетях. Аналогичные атаки уже фиксировались в прошлом — в частности, в 2024 году другая вьетнамская группа распространяла трояна Quasar RAT через вредоносные описания вакансий.
Судя по использованию доменов, имитирующих крупные бренды, таких как «samsung-work[.]com», группа действует минимум год. Ранее она распространяла известные вредоносные программы, включая Agent Tesla, Lumma Stealer и Venom RAT. Последняя кампания лишь подтверждает, что злоумышленники продолжают использовать сложные методы социальной инженерии , делая ставку на доверие соискателей и тщательно выстроенную цепочку доставки вредоноса.
Группа BatShadow, связанная с Вьетнамом, начала новую вредоносную кампанию, нацеленную на соискателей вакансий и специалистов в сфере цифрового маркетинга. Злоумышленники маскируются под рекрутеров и рассылают потенциальным жертвам поддельные документы, якобы содержащие описание должностей. При открытии этих файлов запускается цепочка заражения, в результате которой на устройство устанавливается ранее не описанный вредонос под названием Vampire Bot, написанный на языке Go.
Распространение начинается с ZIP-архива, содержащего приманку в виде PDF-документа и вредоносного исполняемого файла, замаскированного под PDF. При активации поддельного ярлыка запускается PowerShell-скрипт, который подключается к удалённому серверу и загружает псевдоописание вакансии, оформленное как документ от имени отеля Marriott. Одновременно скрипт загружает ZIP-архив с компонентами XtraViewer — утилиты удалённого доступа, которая, предположительно, используется для закрепления в системе.
Жертвы, попавшие на поддельную страницу, получают сообщение о якобы неподдерживаемом браузере и требовании открыть сайт в Microsoft Edge. При согласии открывается ещё одна заглушка, заявляющая о «неисправности онлайн-просмотра» и автоматической отправке файла на устройство. Загружается ZIP-архив с исполняемым файлом, который внешне имитирует PDF, вставляя пробелы между расширениями «.pdf» и «.exe».
Финальным этапом является установка самого Vampire Bot — вредоносного ПО, способного собирать системную информацию, делать скриншоты с заданной периодичностью, передавать собранные данные на удалённый сервер и выполнять команды злоумышленников. Адрес управляющего сервера маскируется под домен, стилизованный под подразделение компании Samsung, что должно затруднить выявление активности.
Признаки, связывающие BatShadow с Вьетнамом, включают IP-адреса, ранее задействованные в атаках, исходивших из этой страны. Кроме того, подобные кампании часто нацелены именно на маркетологов, а украденные данные используются для захвата бизнес-аккаунтов в соцсетях. Аналогичные атаки уже фиксировались в прошлом — в частности, в 2024 году другая вьетнамская группа распространяла трояна Quasar RAT через вредоносные описания вакансий.
Судя по использованию доменов, имитирующих крупные бренды, таких как «samsung-work[.]com», группа действует минимум год. Ранее она распространяла известные вредоносные программы, включая Agent Tesla, Lumma Stealer и Venom RAT. Последняя кампания лишь подтверждает, что злоумышленники продолжают использовать сложные методы социальной инженерии , делая ставку на доверие соискателей и тщательно выстроенную цепочку доставки вредоноса.