Obtenez le nouveau rapport sur les menaces de Batshadow ou écoutez le rapport interactif
Aryaka Threat Research Labs a identifié une nouvelle campagne de l’acteur vietnamien BatShadow, qui continue de s’appuyer sur l’ingénierie sociale pour compromettre les demandeurs d’emploi et les professionnels du marketing numérique. Les attaquants se font passer pour des recruteurs et distribuent des fichiers malveillants déguisés en descriptions de postes et en documents d’entreprise. Lorsqu’ils sont ouverts, ces fichiers déclenchent la chaîne d’infection d’un logiciel malveillant basé sur Go que nous appelons Vampire Bot.
Cette campagne démontre comment les acteurs de la menace exploitent la confiance dans les flux de travail professionnels pour persister, surveiller les systèmes et exfiltrer des informations sensibles, tout en dissimulant leur activité dans un trafic d’apparence normale.
L’infection commence généralement par des archives ZIP contenant des PDF leurres ainsi que des raccourcis ou des fichiers exécutables malveillants, masqués par des extensions trompeuses. Dans ce cas, les fichiers malveillants exécutent des commandes PowerShell cachées qui affichent un PDF leurre à la victime tout en téléchargeant et en installant silencieusement le logiciel malveillant en arrière-plan. Les attaquants utilisent également des astuces basées sur le navigateur, en demandant aux victimes de passer à des navigateurs spécifiques afin de contourner les protections intégrées et de garantir la livraison de la charge utile.
Une fois exécuté, Vampire Bot établit un profil détaillé de l’hôte, recueillant les noms d’utilisateur, les identifiants du matériel, les détails du système d’exploitation, les niveaux de privilèges et les informations sur les produits de sécurité installés. Ces données sont cryptées avant d’être transmises à l’infrastructure de l’attaquant. Pour assurer sa persistance, le logiciel malveillant se cache dans les dossiers du système, applique des attributs pour rester caché et crée un mutex pour empêcher l’exécution de plusieurs instances.
L’une des principales caractéristiques de Vampire Bot est sa surveillance permanente du bureau. Le logiciel malveillant capture des captures d’écran à intervalles configurables, les compresse au format WEBP et les exfiltre par le biais de canaux cryptés. Il maintient également une boucle d’interrogation C2 persistante pour recevoir des instructions, qui peuvent inclure l’exécution de commandes ou le téléchargement de charges utiles supplémentaires. Les résultats des tâches sont transmis aux opérateurs, ce qui leur permet de prendre le contrôle à distance du système compromis.
Cette évolution des tactiques de BatShadow reflète le passage d’une dépendance antérieure du groupe à l’égard de logiciels malveillants de base à des outils plus personnalisés conçus pour une persistance et une furtivité accrues. En intégrant des codes malveillants dans des flux de travail d’applications familières, les acteurs augmentent la probabilité d’une compromission réussie tout en réduisant les chances de détection. Cette évolution souligne l’urgence d’une vigilance permanente dans le domaine de la cybersécurité.
Enfin, les laboratoires de recherche sur les menaces d’Aryaka travaillent en étroite collaboration avec les partenaires de la communauté pour s’assurer que les capacités de détection sont améliorées grâce aux renseignements sur les menaces. Nous avons divulgué de manière responsable les recherches menées avec l’équipe de recherche de Proofpoint Emerging Threats pour mettre à jour les ensembles de règles. Cet effort de collaboration, y compris la mention de Emerging Threats, met en évidence la force de la communauté de la cybersécurité pour relever les défis cybernétiques en constante évolution.
Lisez le rapport ici ou Explorez le rapport interactif