کمیته رکن چهارم – گروه تهدید سایبری BatShadow از بدافزار جدیدی به نام Vampire Bot برای هدف قرار دادن جویندگان کار و فعالان حوزه بازاریابی دیجیتال استفاده میکند. این بدافزار از طریق فایلهایی با ظاهر فریبنده، سیستم کاربران را آلوده کرده و اطلاعات را به سرقت میبرد.
به گزارش کمیته رکن چهارم، این حمله با ارسال فایلهای ZIP آغاز میشود که حاوی اسناد جعلی مرتبط با فرصتهای شغلی در شرکتهایی مانند Marriott است. مهاجمان با معرفی خود بهعنوان مسئول استخدام، فایلهایی را در اختیار قربانیان قرار میدهند که با اجرای آنها، زنجیرهای چندمرحلهای از آلودگی فعال میشود. در این فرآیند، ابزار کنترل از راه دوری به نام XtraViewer نیز نصب میشود تا دسترسی مداوم به سیستم قربانی فراهم گردد.
مهاجمان قربانیان را وادار میکنند تا فایل را در مرورگر Microsoft Edge باز کنند، اقدامی که محدودیتهای امنیتی موجود در مرورگرهای دیگر را دور میزند و اجازه میدهد آرشیو آلوده حاوی فایل اجرایی با نام فریبنده Marriott_Marketing_Job_Description.pdf.exe بهصورت خودکار بارگیری شود.
فایل اجرایی مذکور بدافزار Vampire Bot را فعال میکند؛ این بدافزار که به زبان برنامهنویسی Go نوشته شده، قادر است اطلاعات سیستم را شناسایی، سرقت دادهها را انجام و اسکرینشاتهایی در فواصل زمانی تنظیمشده بگیرد. همچنین با سروری از پیش تعیینشده در ارتباط است تا دستورات جدید دریافت کرده یا بدافزارهای اضافی را بارگذاری کند.
گروه BatShadow پیشتر نیز با استفاده از دامنهها و آدرسهای جعلی، بدافزارهایی مانند Agent Tesla و Lumma Stealer را در حملات مشابهی به کار برده بود. این گروه عمدتاً متخصصان بازاریابی را هدف قرار میدهد و از تاکتیکهای پیچیده مهندسی اجتماعی برای فریب کاربران استفاده میکند.
کاربران بهویژه جویندگان کار باید نسبت به فایلهای مشکوک، بهویژه آنهایی که در قالب اسناد شغلی ارائه میشوند، هوشیار باشند و از باز کردن فایلهای ناشناس یا کلیک بر روی لینکهای نامطمئن خودداری کنند.
