Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Vampire Bot Malware

Vampire Bot Malware

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:

Un actor de amenazas vietnamita, identificado como BatShadow, está ejecutando una campaña dirigida que incita a personas que buscan empleo y profesionales del marketing digital a instalar un malware basado en Go, previamente no documentado, al que los investigadores denominan Vampire Bot. El grupo se hace pasar por reclutadores y distribuye descripciones de puestos y PDF corporativos aparentemente legítimos que, al interactuar con ellos, desencadenan una cadena de infección de varias etapas y ofrecen funciones de vigilancia remota y robo de datos.

Ingeniería social y entrega de señuelos

Los atacantes crean mensajes de reclutamiento y archivos adjuntos ZIP que contienen archivos PDF señuelo junto con accesos directos maliciosos (LNK) o ejecutables camuflados en PDF. Los documentos señuelo están dirigidos específicamente a puestos de marketing (uno de ellos hacía referencia a un puesto de marketing en Marriott) para aumentar la credibilidad ante las víctimas. Se anima a las víctimas a previsualizar o descargar la descripción del puesto, lo que inicia la secuencia de explotación de varias etapas.

Progresión de la cadena de infección

Los paquetes ZIP incluyen un LNK malicioso que ejecuta un script de PowerShell integrado. Este script contacta con un servidor externo para obtener un PDF señuelo y un paquete ZIP independiente que contiene archivos relacionados con XtraViewer (software de escritorio remoto). Los componentes de XtraViewer se ejecutan (probablemente para establecer persistencia o acceso remoto) y la cadena continúa hasta que se implementa el ejecutable de Go.

Abuso de redirecciones de Edge

Un truco clave de la campaña es una página de destino que muestra un error falso de "navegador no compatible" e indica a las víctimas que copien la URL y la abran en Microsoft Edge. Los navegadores modernos suelen bloquear las redirecciones programadas, por lo que los atacantes recurren a convencer al usuario para que realice una acción manual (copiar y pegar en Edge), que se considera iniciada por el usuario y permite que la descarga continúe. Una vez abierta en Edge, la página muestra otro error falso que afirma que el PDF se ha comprimido y "se ha enviado a su dispositivo", lo que activa una descarga ZIP automática.

Truco para nombrar la carga útil y el señuelo

El archivo ZIP descargado automáticamente contiene la supuesta descripción del puesto y un ejecutable malicioso cuyo nombre parece un PDF (por ejemplo, 'Marriott_Marketing_Job_Description.pdf.exe'). El ejecutable utiliza relleno de nombre de archivo (espacios adicionales entre '.pdf' y '.exe') para que parezca un PDF en algunas vistas, lo que aumenta la probabilidad de que las víctimas lo ejecuten.

Capacidades del robot vampiro

El ejecutable descargado es un binario de Golang denominado Vampire Bot. Sus capacidades observadas incluyen:

  • enumerar y perfilar el host infectado,
  • robar un amplio conjunto de datos (almacenes de credenciales, archivos, etc.),
  • tomar capturas de pantalla según un horario configurable,
    y
  • mantener la comunicación de comando y control con un servidor atacante (reportado como api3.samsungcareers.work) para recibir comandos o descargar cargas útiles adicionales.

Atribución e infraestructura

Los analistas vinculan esta actividad con Vietnam basándose en la reutilización de infraestructura —por ejemplo, una dirección IP (103.124.95.161) previamente asociada con operadores vinculados a Vietnam— y en patrones de segmentación. BatShadow ya ha atacado a profesionales del marketing digital y se solapa con otros grupos vietnamitas con motivaciones económicas, conocidos por implementar programas de robo de identidad que secuestran activos de Facebook Business. El grupo parece haber estado activo durante al menos un año y anteriormente ha utilizado dominios como samsung-work.com para distribuir familias de malware, incluyendo Agent Tesla, Lumma Stealer, Venom RAT y, en octubre de 2024, campañas que distribuyen Quasar RAT mediante archivos de descripción de puestos de trabajo con trampas similares.

¿Por qué es efectivo el ataque?

BatShadow combina señuelos relevantes para la industria (anuncios de empleo en marketing), trucos con nombres de archivo, cargas útiles preconfiguradas (para evadir el escaneo simple de archivos) y un flujo que fuerza una acción manual del navegador para eludir las protecciones de redirección programadas. Esta combinación de ingeniería social y pasos técnicos multietapa aumenta las probabilidades de una vulneración exitosa y el acceso a largo plazo.

Conclusión

La campaña de BatShadow subraya la eficacia de la ingeniería social dirigida cuando se combina con una cadena técnica evasiva y organizada. Las organizaciones que reclutan con frecuencia o gestionan el tráfico de solicitantes, así como los profesionales del marketing digital que gestionan activos online, deberían reforzar la gestión de correos y archivos adjuntos, aplicar controles de ejecución estrictos y tratar los archivos adjuntos de reclutamiento como de alto riesgo hasta su validación.

Tendencias

La versión de su buzón será descontinuada (estafa)

Suplantación de identidad (phishing), Correo basura
Los estafadores en línea desarrollan continuamente nuevos trucos para engañar a los usuarios y robar datos valiosos. Un ejemplo es la estafa "La versión de su buzón será descontinuada", una campaña de phishing diseñada para obtener credenciales de inicio de sesión de víctimas desprevenidas. Los expertos en ciberseguridad advierten que estos mensajes fraudulentos no están asociados con ninguna...

Mas Visto

Cargando...