Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) Vampire Bot Malware

Vampire Bot Malware

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:

Ein vietnamesischsprachiger Bedrohungsakteur namens BatShadow führt eine gezielte Kampagne durch, die Arbeitssuchende und Digitalmarketing-Experten dazu verleitet, eine bisher nicht dokumentierte Go-basierte Schadsoftware zu installieren, die die Forscher Vampire Bot nennen. Die Gruppe gibt sich als Personalvermittler aus und verbreitet scheinbar legitime Stellenbeschreibungen und Unternehmens-PDFs. Bei Interaktion mit ihnen wird eine mehrstufige Infektionskette ausgelöst und es werden Möglichkeiten zur Fernüberwachung und zum Datendiebstahl geboten.

Social Engineering und Köderlieferung

Die Angreifer erstellen rekrutierungsähnliche Nachrichten und ZIP-Anhänge, die neben schädlichen Verknüpfungen (LNK) oder als PDFs getarnten ausführbaren Dateien auch PDF-Dateien als Täuschungsmanöver enthalten. Die Dokumentköder zielen speziell auf Marketingpositionen ab (ein Köder bezog sich auf eine Marketingstelle bei Marriott), um die Glaubwürdigkeit der Opfer zu erhöhen. Die Opfer werden aufgefordert, die Stellenbeschreibung „vorzulesen“ oder herunterzuladen, wodurch die mehrstufige Ausnutzungssequenz gestartet wird.

Verlauf der Infektionskette

Die ZIP-Pakete enthalten einen schädlichen LNK, der ein eingebettetes PowerShell-Skript ausführt. Dieses Skript kontaktiert einen externen Server, um ein Lock-PDF und ein separates ZIP-Paket mit Dateien für XtraViewer (Remote-Desktop-Software) abzurufen. Die XtraViewer-Komponenten werden ausgeführt – wahrscheinlich, um Persistenz oder Remote-Zugriff herzustellen – und die Kette wird fortgesetzt, bis die ausführbare Go-Datei bereitgestellt wird.

Missbrauch von Edge-Weiterleitungen

Ein zentraler Trick der Kampagne ist eine Zielseite, die eine gefälschte Fehlermeldung mit dem Hinweis auf einen nicht unterstützten Browser anzeigt und die Opfer auffordert, die URL zu kopieren und in Microsoft Edge zu öffnen. Skriptbasierte Weiterleitungen werden von modernen Browsern oft blockiert. Daher versuchen die Angreifer, den Benutzer zu einer manuellen Aktion (Kopieren/Einfügen in Edge) zu bewegen. Diese wird dann als vom Benutzer initiiert interpretiert und der Download kann fortgesetzt werden. Nach dem Öffnen in Edge zeigt die Seite eine weitere gefälschte Fehlermeldung mit der Behauptung, die PDF-Datei sei komprimiert und „an Ihr Gerät gesendet“ worden. Daraufhin wird ein automatischer ZIP-Download ausgelöst.

Benennungstrick für Nutzlast und Köder

Die automatisch heruntergeladene ZIP-Datei enthält die angebliche Stellenbeschreibung und eine schädliche ausführbare Datei, deren Name an eine PDF-Datei erinnert (z. B. „Marriott_Marketing_Job_Description.pdf.exe“). Die ausführbare Datei verwendet Dateinamen-Padding (zusätzliche Leerzeichen zwischen „.pdf“ und „.exe“), sodass sie in manchen Ansichten wie eine PDF-Datei aussieht und die Wahrscheinlichkeit erhöht, dass Opfer sie ausführen.

Fähigkeiten von Vampire Bot

Bei der abgelegten ausführbaren Datei handelt es sich um eine Golang-Binärdatei namens Vampire Bot. Zu den beobachteten Fähigkeiten gehören:

  • Aufzählung und Profilierung des infizierten Hosts,
  • Diebstahl eines breiten Datenbestands (Anmeldeinformationen, Dateien usw.),
  • Aufnehmen von Screenshots nach einem konfigurierbaren Zeitplan,
    Und
  • Aufrechterhaltung der Command-and-Control-Kommunikation mit einem Angreiferserver (gemeldet als api3.samsungcareers.work), um Befehle zu empfangen oder zusätzliche Nutzdaten herunterzuladen.

    • Zuordnung und Infrastruktur

    Analysten bringen diese Aktivität aufgrund der Wiederverwendung von Infrastruktur – beispielsweise einer IP-Adresse (103.124.95.161), die zuvor mit Betreibern in Vietnam in Verbindung gebracht wurde – und aufgrund von Targeting-Mustern mit Vietnam in Verbindung. BatShadow hatte bereits zuvor Digital-Marketing-Experten im Visier und weist Überschneidungen mit anderen finanziell motivierten vietnamesischen Gruppen auf, die dafür bekannt sind, Stealer einzusetzen, die Facebook Business-Assets kapern. Die Gruppe scheint seit mindestens einem Jahr aktiv zu sein und nutzte zuvor Domains wie samsung-work.com, um Malware-Familien wie Agent Tesla, Lumma Stealer und Venom RAT zu verbreiten. Im Oktober 2024 startete sie Kampagnen zur Verbreitung von Quasar RAT über ähnlich manipulierte Stellenbeschreibungsdateien.

    Warum ist der Angriff effektiv?

    BatShadow kombiniert branchenrelevante Köder (z. B. Stellenanzeigen), Dateinamentricks, inszenierte Payloads (um einfache Dateiscans zu umgehen) und einen Ablauf, der eine manuelle Browseraktion erzwingt, um den Schutz vor Skript-Weiterleitungen zu umgehen. Diese Kombination aus Social Engineering und mehrstufigen technischen Schritten erhöht die Wahrscheinlichkeit einer erfolgreichen Kompromittierung und eines langfristigen Zugriffs.

    Abschluss

    Die Kampagne von BatShadow unterstreicht, wie effektiv gezieltes Social Engineering ist, wenn es mit einer inszenierten, ausweichenden technischen Kette kombiniert wird. Unternehmen, die häufig rekrutieren oder Bewerberverkehr bewältigen – und Fachleute im digitalen Marketing, die Online-Ressourcen verwalten – sollten den Umgang mit E-Mails und Anhängen verschärfen, strenge Ausführungskontrollen anwenden und Anhänge im Rekrutierungsstil bis zur Validierung als risikoreich behandeln.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...