Obtenga el nuevo informe sobre amenazas de Batshadow o escuche el informe interactivo
Aryaka Threat Research Labs ha identificado una nueva campaña del actor de amenazas vietnamita BatShadow, que sigue basándose en la ingeniería social para comprometer a solicitantes de empleo y profesionales del marketing digital. Los atacantes se hacen pasar por reclutadores y distribuyen archivos maliciosos disfrazados de descripciones de puestos de trabajo y documentos corporativos. Cuando se abren, estos señuelos desencadenan la cadena de infección de un malware basado en Go al que denominamos Vampire Bot.
Esta campaña demuestra cómo los actores de amenazas se aprovechan de la confianza en los flujos de trabajo profesionales para conseguir persistencia, llevar a cabo la vigilancia del sistema y exfiltrar información sensible, todo ello mientras mezclan su actividad con tráfico de apariencia normal.
La infección suele comenzar con archivos ZIP que contienen PDF señuelo junto con archivos ejecutables o de acceso directo maliciosos, enmascarados con extensiones engañosas. En este caso, los archivos maliciosos ejecutan comandos PowerShell ocultos que muestran un PDF señuelo a la víctima mientras descargan e instalan silenciosamente el malware en segundo plano. Los atacantes también emplean trucos basados en navegadores, indicando a las víctimas que cambien a navegadores específicos para eludir las protecciones integradas y garantizar la entrega satisfactoria de la carga útil.
Una vez ejecutado, Vampire Bot realiza un perfil detallado del host, recopilando nombres de usuario, identificadores de hardware, detalles del sistema operativo, niveles de privilegios e información sobre los productos de seguridad instalados. Estos datos se cifran antes de ser transmitidos a la infraestructura del atacante. Para mantener la persistencia, el malware se oculta en carpetas del sistema, aplica atributos para permanecer oculto y crea un mutex para evitar que se ejecuten varias instancias.
Una característica central de Vampire Bot es su vigilancia continua del escritorio. El malware captura capturas de pantalla a intervalos configurables, las comprime en formato WEBP y las exfiltra a través de canales cifrados. También mantiene un bucle de sondeo C2 persistente para recibir instrucciones, que pueden incluir la ejecución de comandos o la descarga de cargas útiles adicionales. Los resultados de las tareas se transmiten de vuelta a los operadores, otorgándoles un control remoto completo del sistema comprometido.
Esta evolución de las tácticas de BatShadow refleja un cambio desde la anterior confianza del grupo en el malware básico hacia herramientas más personalizadas diseñadas para una mayor persistencia y sigilo. Al incrustar código malicioso en flujos de trabajo de aplicaciones familiares, los actores aumentan la probabilidad de un compromiso exitoso al tiempo que reducen las posibilidades de detección. Este cambio subraya la urgente necesidad de una vigilancia continua en el campo de la ciberseguridad.
Por último, los laboratorios de investigación de amenazas de Aryaka trabajan en estrecha colaboración con los socios de la comunidad para garantizar que las capacidades de detección se mejoran con la inteligencia de amenazas. Divulgamos responsablemente la investigación con el equipo de investigación de Proofpoint Emerging Threats para actualizar los conjuntos de reglas. Este esfuerzo de colaboración, incluida la mención de Amenazas Emergentes, pone de relieve la fortaleza de la comunidad de ciberseguridad a la hora de abordar los retos cibernéticos en evolución.
Lea el informe aquí o Explore el informe interactivo