Un groupe de menaces vietnamien connu sous le nom de BatShadow a été identifié comme responsable d’une nouvelle campagne utilisant des tactiques d’ingénierie sociale pour tromper les chercheurs d’emploi et les professionnels du marketing digital. Les attaquants usurpent l’identité de recruteurs, distribuant des fichiers malveillants déguisés en descriptions de poste et documents d’entreprise, dans le but d’infiltrer un malware non documenté appelé Vampire Bot.
Attention aux recruteurs !
Selon un rapport des Aryaka Threat Research Labs, les attaquants utilisent des fichiers ZIP qui contiennent de faux documents PDF accompagnés de fichiers exécutables déguisés en PDF. Lorsque les utilisateurs ouvrent ces fichiers, une chaîne d’infection de malware basé sur Go s’active. Dans ce cas, le fichier exécutable déguisé en description de poste pour un poste de marketing chez Marriott déclenche un script PowerShell qui se connecte à un serveur externe pour télécharger d’autres fichiers malveillants, y compris un logiciel de connexion à distance.
Une tactique particulièrement insidieuse de ce groupe est que ils orientent les victimes à utiliser Microsoft Edge pour ouvrir un lien vers une prétendue description de poste. Cela se fait parce qu’Edge permet de poursuivre le processus d’infection, tandis que d’autres navigateurs comme Chrome bloquent certains scripts pour des raisons de sécurité.
Le malware Vampire Bot est capable de profiler l’hôte infecté, de voler des informations personnelles et de réaliser des captures d’écran à des intervalles configurables. De plus, il maintient une communication avec un serveur contrôlé par les attaquants pour exécuter des commandes supplémentaires. L’activité de BatShadow a été retracée jusqu’à des adresses IP précédemment liées à des hackers au Vietnam.
Ceci n’est pas la première tentative d’attaques ciblées contre des professionnels du marketing digital ; en octobre 2024, une campagne similaire a été signalée, utilisant Quasar RAT pour attaquer des chercheurs d’emploi via des e-mails de phishing. La sophistication des tactiques de BatShadow souligne la nécessité de rester vigilant face à de telles menaces dans un environnement de travail de plus en plus numérisé.