Por Mid BatShadow: Nuevo troyano Vampire Bot se aprovecha de ofertas de empleo fraudulentas para atacar a profesionales digitales
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Media
Conclusiones clave
- BatShadow utiliza ingeniería social y archivos maliciosos en ataques dirigidos a buscadores de empleo y expertos en marketing digital.
- El troyano Vampire Bot es capaz de recolectar información sensible y permitir acceso remoto a sistemas comprometidos.
- La combinación de técnicas de evasión y malware personalizado incrementa el riesgo de éxito de estos ataques.
- Es crucial la formación en concientización sobre phishing para mitigar riesgos asociados.
- Se recomienda no abrir archivos adjuntos sospechosos y mantener el software antivirus actualizado.
Índice
- Estrategia de BatShadow
- Distribución de archivos maliciosos
- Riesgos asociados
- Prevención y mitigación
- Formación y concientización
Estrategia de BatShadow
Recientemente, se ha identificado una nueva estrategia para atacar a aquellos en búsqueda de empleo, así como a expertos en marketing digital, que combina ingeniería social con archivos maliciosos para implantar el malware conocido como Vampire Bot. El grupo BatShadow, originario de Vietnam, se destaca por la sofisticación y la tenacidad en sus campañas maliciosas.
Distribución de archivos maliciosos
Desde Aryaka Threat Research Labs han observado que BatShadow ha lanzado un ataque enfocado en usuarios a la caza de empleo y en profesionales del marketing digital, utilizando señuelos personalizados y técnicas de ingeniería social. En activo desde hace al menos un año, este grupo ya había utilizado dominios fraudulentos y diversos tipos de malware, como Lumma Stealer y Agent Tesla, en campañas anteriores.
La distribución de archivos ZIP por parte de BatShadow incluye PDFs engañosos junto con accesos directos (LNK) o ejecutables que pretenden ser documentos PDF legítimos. La ejecución de estos accesos directos desencadena scripts de PowerShell que descargan un PDF falso y un archivo ZIP que contiene el software XtraViewer, lo que permite el acceso remoto persistente al sistema comprometido.
Riesgos asociados
El PDF simulado persuade al usuario para que abra una URL en el navegador Microsoft Edge, así el malware puede eludir restricciones del navegador y descargar un ejecutable malicioso disfrazado como ‘MarriottMarketingJobDescription.pdf.exe’. Este archivo resulta ser el Vampire Bot: una amenaza escrita en Golang que tiene la capacidad de recolectar información del sistema, robar datos sensibles, tomar capturas de pantalla de manera periódica y comunicarse con el servidor del atacante para recibir nuevos comandos o payloads.
Los riesgos principales asociados a este ataque incluyen no solo la pérdida de información sensible, sino también el secuestro de cuentas empresariales, como las de Facebook Business, además del acceso persistente a los sistemas infectados. La complejidad de la campaña, que combina múltiples etapas y archivos manipulados, incrementa la probabilidad de éxito y complica la detección temprana del ataque.
Prevención y mitigación
Debido al perfil de los objetivos, que se centran en profesionales digitales, estos ataques pueden servir como puerta de entrada para operaciones más amplias contra organizaciones. Por ello, se aconseja no abrir archivos adjuntos sospechosos ni clics en enlaces no solicitados, especialmente aquellos que aparentan ser ofertas de trabajo. También es fundamental mantener el software antivirus actualizado, aplicar el principio de mínimos privilegios y monitorear el tráfico hacia dominios y direcciones IP desconocidas.
Formación y concientización
La formación y concientización de los empleados respecto a técnicas de phishing y campañas de ingeniería social es esencial para mitigar incidentes como estos. La evolución de las amenazas, ilustrada por BatShadow, refleja cómo la combinación de ingeniería social, técnicas de evasión y malware personalizado como Vampire Bot puede ser devastadora. Por lo tanto, la educación continua y la vigilancia al abrir archivos son cruciales para evitar la propagación de campañas como estas.