-
09/04/2020
-
115
-
1.161 bài viết
Nhóm tin tặc BatShadow dùng chiêu tuyển dụng ảo để phát tán mã độc Vampire Bot
Một chiến dịch tấn công mới từ nhóm tin tặc BatShadow vừa được các nhà nghiên cứu an ninh mạng phát hiện, được cho là nhắm thẳng mục tiêu vào những người đang tìm việc, các chuyên viên digital marketing tại Việt Nam và các nhóm thường xuyên tiếp cận với các file mô tả công việc, CV, tài liệu từ nhà tuyển dụng.
Theo báo cáo, nhóm tin tặc BatShadow, đã tiến hành phát tán một loại mã độc dựa trên Go, chưa từng được ghi nhận trước đây có tên là Vampire Bot, thông qua chiến thuật xã hội học (social engineering) hết sức tinh vi.
Theo Aryaka, những kẻ tấn công giả danh các nhà tuyển dụng hoặc công ty lớn như Marriott, gửi tới nạn nhân file ZIP chứa các tài liệu có vẻ hợp pháp, chẳng hạn như “Marriott Marketing Job Description.pdf”.
Bên trong tập tin ZIP này lại ẩn chứa file rút gọn (LNK) hoặc file thực thi (.exe) được ngụy trang bằng biểu tượng PDF. Khi người dùng mở ra, PowerShell script độc hại sẽ được kích hoạt, tải xuống một tài liệu PDF mồi từ máy chủ bên ngoài nhằm đánh lừa nạn nhân rằng họ đang xem mô tả công việc thật.
Song song đó, chuỗi lây nhiễm được kích hoạt và Vault malware tải xuống từ máy chủ bên ngoài, bao gồm tài liệu mồi nhử (file ZIP) và phần mềm liên quan đến XtraViewer. (công cụ kết nối điều khiển từ xa, giúp tin tặc duy trì quyền truy cập liên tục vào máy tính bị nhiễm).
Điểm đặc biệt trong chiến dịch lần này là chiến thuật điều hướng trình duyệt. Sau khi mở file mồi, nạn nhân được dẫn đến một trang web giả lập trang tuyển dụng, nhưng trang này lại hiển thị thông báo lỗi: “Trình duyệt không được hỗ trợ, chỉ hỗ trợ Microsoft Edge”.
Khi người dùng nhấn “OK”, Chrome sẽ chặn chuyển hướng, và website tiếp tục hướng dẫn họ copy thủ công đường dẫn và mở bằng Edge.
Đây là chiêu lách bảo mật khôn ngoan: Chrome chặn các hành vi tự động tải file, nhưng nếu người dùng tự mở bằng Edge, hệ thống sẽ coi đó là hành động hợp lệ, cho phép tải tiếp file ZIP chứa mã độc Vampire Bot. Tập tin này được đặt tên “Marriott_Marketing_Job_Description.pdf.exe”, với các khoảng trắng giữa “.pdf” và “.exe” để đánh lừa người dùng tưởng rằng đó chỉ là một file PDF thông thường.
Khi nạn nhân chạy file này, mã độc Vampire Bot (viết bằng ngôn ngữ Go) được cài vào máy. Theo phân tích, Vampire Bot có khả năng:
Các nhà nghiên cứu xác định máy chủ điều khiển sử dụng địa chỉ IP 103.124.95[.]161, vốn từng được ghi nhận trong nhiều hoạt động tấn công, nghi ngờ xuất phát từ Việt Nam.
BatShadow được cho là đã hoạt động ít nhất một năm, từng sử dụng các tên miền giả mạo thương hiệu như samsung-work[.]com để phát tán các mã độc khác như: Agent Tesla, Lumma Stealer và Venom RAT đều là các công cụ đánh cắp dữ liệu phổ biến.
Trước đó, vào tháng 10/2024, công ty Cyble cũng ghi nhận một chiến dịch tương tự nhắm vào người tìm việc và nhân viên marketing, nhưng sử dụng Quasar RAT (một công cụ điều khiển từ xa khác). Sự tương đồng trong chiến thuật cho thấy BatShadow đang mở rộng quy mô và nâng cấp công cụ tấn công bằng việc phát triển riêng Vampire Bot, thay vì chỉ dùng mã độc có sẵn.
Chiến dịch này được đánh giá nguy hiểm ở cả khía cạnh kỹ thuật và tâm lý học người dùng. Thay vì tấn công vào lỗ hổng phần mềm, BatShadow đánh thẳng vào niềm tin và sự thiếu cảnh giác của người tìm việc. Nhóm mục tiêu các digital marketer thường có quyền truy cập vào nhiều tài khoản quảng cáo, ngân sách hoặc dữ liệu khách hàng, khiến thiệt hại tiềm ẩn không chỉ dừng ở cá nhân mà còn lan sang doanh nghiệp. Ngoài ra, BatShadow còn dùng chuỗi lây nhiễm nhiều giai đoạn và tài liệu ngụy trang để triển khai Vampire Bot có khả năng giám sát hệ thống và thực thi lệnh từ xa.
Chiến dịch Vampire Bot của nhóm BatShadow là mối đe dọa thực sự, có khả năng ảnh hưởng trực tiếp tới người dùng Việt Nam do sử dụng chiêu trò tinh vi, ngụy trang tốt và đánh vào thói quen công nghệ phổ biến.
Để tránh trở thành nạn nhân của những chiến dịch tương tự, người dùng cần lưu ý:
Theo báo cáo, nhóm tin tặc BatShadow, đã tiến hành phát tán một loại mã độc dựa trên Go, chưa từng được ghi nhận trước đây có tên là Vampire Bot, thông qua chiến thuật xã hội học (social engineering) hết sức tinh vi.
Theo Aryaka, những kẻ tấn công giả danh các nhà tuyển dụng hoặc công ty lớn như Marriott, gửi tới nạn nhân file ZIP chứa các tài liệu có vẻ hợp pháp, chẳng hạn như “Marriott Marketing Job Description.pdf”.
Bên trong tập tin ZIP này lại ẩn chứa file rút gọn (LNK) hoặc file thực thi (.exe) được ngụy trang bằng biểu tượng PDF. Khi người dùng mở ra, PowerShell script độc hại sẽ được kích hoạt, tải xuống một tài liệu PDF mồi từ máy chủ bên ngoài nhằm đánh lừa nạn nhân rằng họ đang xem mô tả công việc thật.
Song song đó, chuỗi lây nhiễm được kích hoạt và Vault malware tải xuống từ máy chủ bên ngoài, bao gồm tài liệu mồi nhử (file ZIP) và phần mềm liên quan đến XtraViewer. (công cụ kết nối điều khiển từ xa, giúp tin tặc duy trì quyền truy cập liên tục vào máy tính bị nhiễm).
Điểm đặc biệt trong chiến dịch lần này là chiến thuật điều hướng trình duyệt. Sau khi mở file mồi, nạn nhân được dẫn đến một trang web giả lập trang tuyển dụng, nhưng trang này lại hiển thị thông báo lỗi: “Trình duyệt không được hỗ trợ, chỉ hỗ trợ Microsoft Edge”.
Khi người dùng nhấn “OK”, Chrome sẽ chặn chuyển hướng, và website tiếp tục hướng dẫn họ copy thủ công đường dẫn và mở bằng Edge.
Đây là chiêu lách bảo mật khôn ngoan: Chrome chặn các hành vi tự động tải file, nhưng nếu người dùng tự mở bằng Edge, hệ thống sẽ coi đó là hành động hợp lệ, cho phép tải tiếp file ZIP chứa mã độc Vampire Bot. Tập tin này được đặt tên “Marriott_Marketing_Job_Description.pdf.exe”, với các khoảng trắng giữa “.pdf” và “.exe” để đánh lừa người dùng tưởng rằng đó chỉ là một file PDF thông thường.
Khi nạn nhân chạy file này, mã độc Vampire Bot (viết bằng ngôn ngữ Go) được cài vào máy. Theo phân tích, Vampire Bot có khả năng:
- Thu thập thông tin hệ thống (tên máy, cấu hình, địa chỉ IP, tài khoản người dùng)
- Chụp ảnh màn hình định kỳ
- Đánh cắp dữ liệu cá nhân hoặc thông tin nhạy cảm
- Duy trì liên lạc với máy chủ điều khiển (C2) tại địa chỉ api3.samsungcareers[.]work để nhận lệnh từ xa hoặc tải thêm mã độc khác.
Các nhà nghiên cứu xác định máy chủ điều khiển sử dụng địa chỉ IP 103.124.95[.]161, vốn từng được ghi nhận trong nhiều hoạt động tấn công, nghi ngờ xuất phát từ Việt Nam.
BatShadow được cho là đã hoạt động ít nhất một năm, từng sử dụng các tên miền giả mạo thương hiệu như samsung-work[.]com để phát tán các mã độc khác như: Agent Tesla, Lumma Stealer và Venom RAT đều là các công cụ đánh cắp dữ liệu phổ biến.
Trước đó, vào tháng 10/2024, công ty Cyble cũng ghi nhận một chiến dịch tương tự nhắm vào người tìm việc và nhân viên marketing, nhưng sử dụng Quasar RAT (một công cụ điều khiển từ xa khác). Sự tương đồng trong chiến thuật cho thấy BatShadow đang mở rộng quy mô và nâng cấp công cụ tấn công bằng việc phát triển riêng Vampire Bot, thay vì chỉ dùng mã độc có sẵn.
Chiến dịch này được đánh giá nguy hiểm ở cả khía cạnh kỹ thuật và tâm lý học người dùng. Thay vì tấn công vào lỗ hổng phần mềm, BatShadow đánh thẳng vào niềm tin và sự thiếu cảnh giác của người tìm việc. Nhóm mục tiêu các digital marketer thường có quyền truy cập vào nhiều tài khoản quảng cáo, ngân sách hoặc dữ liệu khách hàng, khiến thiệt hại tiềm ẩn không chỉ dừng ở cá nhân mà còn lan sang doanh nghiệp. Ngoài ra, BatShadow còn dùng chuỗi lây nhiễm nhiều giai đoạn và tài liệu ngụy trang để triển khai Vampire Bot có khả năng giám sát hệ thống và thực thi lệnh từ xa.
Chiến dịch Vampire Bot của nhóm BatShadow là mối đe dọa thực sự, có khả năng ảnh hưởng trực tiếp tới người dùng Việt Nam do sử dụng chiêu trò tinh vi, ngụy trang tốt và đánh vào thói quen công nghệ phổ biến.
Để tránh trở thành nạn nhân của những chiến dịch tương tự, người dùng cần lưu ý:
- Không mở file .zip, .lnk, .exe, hoặc .pdf.exe nhận được từ email hoặc tin nhắn tuyển dụng, đặc biệt nếu không xác thực được nguồn gửi, tránh làm theo hướng dẫn từ nguồn không chính thống.
- Kiểm tra kỹ phần mở rộng thật của file, bật hiển thị phần mở rộng trong Windows Explorer.
- Không tải tài liệu mô tả công việc từ các trang yêu cầu chuyển sang trình duyệt khác hoặc hiển thị thông báo lỗi bất thường.
- Sử dụng phần mềm diệt virus đáng tin cậy và luôn cập nhật.
- Cẩn trọng với các lời mời việc làm quá hấp dẫn, đặc biệt nếu yêu cầu tải file từ các tên miền lạ như samsungcareers.work hoặc marriott-jobs.xyz.
WhiteHat