Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Logiciel malveillant Vampire Bot

Logiciel malveillant Vampire Bot

Par Mezo en Menace persistante avancée (APT), Logiciels malveillants
Se traduisent par :

Un acteur malveillant vietnamien, identifié sous le nom de BatShadow, mène une campagne ciblée incitant les demandeurs d'emploi et les professionnels du marketing numérique à installer un malware basé sur Go, jusqu'alors inconnu, baptisé Vampire Bot par les chercheurs. Le groupe se fait passer pour des recruteurs et diffuse des descriptions de poste et des PDF d'entreprise apparemment légitimes qui, lorsqu'on les utilise, déclenchent une chaîne d'infection en plusieurs étapes et offrent des capacités de surveillance à distance et de vol de données.

Ingénierie sociale et distribution de leurres

Les attaquants créent des messages de recrutement et des pièces jointes ZIP contenant des fichiers PDF leurres ainsi que des raccourcis malveillants (LNK) ou des exécutables déguisés en PDF. Ces leurres sont spécifiquement destinés aux postes marketing (l'un d'eux faisait référence à un poste chez Marriott) afin d'accroître leur crédibilité auprès des victimes ciblées. Celles-ci sont invitées à prévisualiser ou à télécharger la description du poste, ce qui déclenche une séquence d'exploitation en plusieurs étapes.

Progression de la chaîne d’infection

Les packages ZIP contiennent un LNK malveillant qui exécute un script PowerShell intégré. Ce script contacte un serveur externe pour récupérer un PDF leurre et un fichier ZIP distinct contenant des fichiers relatifs à XtraViewer (logiciel de bureau à distance). Les composants XtraViewer sont exécutés, probablement pour établir la persistance ou l'accès à distance, et la chaîne se poursuit jusqu'au déploiement de l'exécutable Go.

Abuser des redirections Edge

L'une des astuces clés de la campagne est une page de destination affichant une fausse erreur « Navigateur non pris en charge » et demandant aux victimes de copier l'URL et de l'ouvrir dans Microsoft Edge. Les redirections scriptées étant souvent bloquées par les navigateurs modernes, les attaquants s'appuient sur une action manuelle (copier/coller dans Edge) de l'utilisateur, considérée comme initiée par l'utilisateur et permettant au téléchargement de se poursuivre. Une fois ouverte dans Edge, la page affiche une autre fausse erreur indiquant que le PDF a été compressé et « envoyé sur votre appareil », ce qui déclenche un téléchargement ZIP automatique.

Astuce pour nommer la charge utile et le leurre

Le fichier ZIP téléchargé automatiquement contient la prétendue description de poste et un exécutable malveillant dont le nom ressemble à un PDF (par exemple, « Marriott_Marketing_Job_Description.pdf.exe »). L'exécutable utilise un remplissage de nom de fichier (espaces supplémentaires entre « .pdf » et « .exe »), ce qui lui donne l'apparence d'un PDF dans certaines vues, augmentant ainsi la probabilité que les victimes l'exécutent.

Capacités de Vampire Bot

L'exécutable déposé est un binaire Golang appelé Vampire Bot. Ses fonctionnalités observées incluent :

  • énumérer et profiler l'hôte infecté,
  • voler un large ensemble de données (magasins d'informations d'identification, fichiers, etc.),
  • prendre des captures d'écran selon un calendrier configurable,
    et
  • maintenir une communication de commande et de contrôle avec un serveur attaquant (signalé comme api3.samsungcareers.work) pour recevoir des commandes ou télécharger des charges utiles supplémentaires.

Attribution et infrastructure

Les analystes relient cette activité au Vietnam en se basant sur la réutilisation de l'infrastructure – par exemple, une adresse IP (103.124.95.161) précédemment associée à des opérateurs vietnamiens – et sur des schémas de ciblage. BatShadow a déjà ciblé des professionnels du marketing numérique et ses activités recoupent celles d'autres groupes vietnamiens à motivation financière, connus pour déployer des logiciels malveillants détournant les actifs de Facebook Business. Le groupe semble actif depuis au moins un an et a déjà utilisé des domaines tels que samsung-work.com pour diffuser des familles de logiciels malveillants, dont Agent Tesla, Lumma Stealer, Venom RAT et, en octobre 2024, des campagnes diffusant Quasar RAT via des fichiers de description de poste également piégés.

Pourquoi l’attaque est-elle efficace ?

BatShadow combine des leurres pertinents pour le secteur (offres d'emploi marketing), des arnaques aux noms de fichiers, des charges utiles mises en scène (pour échapper à une simple analyse de fichiers) et un flux qui force une action manuelle du navigateur à contourner les protections de redirection scriptées. Ce mélange d'ingénierie sociale et de techniques en plusieurs étapes augmente les chances de compromission réussie et d'accès durable.

Conclusion

La campagne de BatShadow souligne l'efficacité de l'ingénierie sociale ciblée lorsqu'elle est associée à une chaîne technique progressive et évasive. Les organisations qui recrutent fréquemment ou gèrent un flux de candidatures, ainsi que les professionnels du marketing numérique qui gèrent des ressources en ligne, devraient renforcer la gestion des courriers et des pièces jointes, appliquer des contrôles d'exécution stricts et traiter les pièces jointes de type recrutement comme à haut risque jusqu'à leur validation.

Tendance

Version de l'arnaque « Votre boîte aux lettres sera...

Hameçonnage, Courrier indésirable
Les escrocs en ligne développent constamment de nouvelles astuces pour tromper les utilisateurs et voler des données précieuses. L'arnaque « La version de votre boîte aux lettres sera supprimée » en est un exemple : une campagne d'hameçonnage conçue pour récupérer les identifiants de connexion de victimes peu méfiantes. Les experts en cybersécurité préviennent que ces messages...

Le plus regardé

Chargement...