Il gruppo di cybercriminali BatShadow, di origine vietnamita, è stato recentemente collegato a una campagna di attacchi informatici che prende di mira persone in cerca di lavoro e professionisti del digital marketing. La strategia di BatShadow si basa sull’utilizzo di sofisticate tecniche di social engineering, sfruttando offerte di lavoro false e documenti aziendali contraffatti per indurre le vittime a scaricare e avviare file pericolosi.
L’attacco inizia con l’invio di archivi ZIP che contengono sia documenti PDF esca, sia file malevoli mascherati da PDF, come collegamenti LNK o eseguibili camuffati da documenti. Quando la vittima apre uno di questi file LNK, viene eseguito uno script PowerShell che si collega a un server esterno e scarica un documento PDF, spesso presentato come un’offerta di lavoro nel marketing per una grande catena alberghiera. Lo stesso script scarica anche un secondo archivio ZIP contenente software per il controllo remoto del desktop, finalizzato a garantire un accesso persistente al sistema compromesso.
Un elemento innovativo di questa campagna è l’uso di pagine web che simulano errori del browser. Se la vittima tenta di visualizzare il PDF in Chrome, viene visualizzato un falso messaggio di errore che invita a copiare l’URL e a incollarlo nel browser Microsoft Edge. Questa istruzione sfrutta il fatto che i popup e i redirect automatici sono spesso bloccati nei browser, mentre l’interazione manuale con Edge permette di proseguire con l’infezione.
Una volta seguite le istruzioni, la vittima scarica un nuovo archivio ZIP con un file eseguibile chiamato “Marriott_Marketing_Job_Description.pdf.exe”, che si maschera da PDF inserendo spazi tra le estensioni per ingannare l’utente. Questo file contiene il malware Vampire Bot, scritto in Go, in grado di profilare la macchina, rubare informazioni, catturare screenshot periodici e mantenere il contatto con un server di comando per eseguire ulteriori istruzioni o scaricare altri payload.
L’infrastruttura e le modalità operative di BatShadow presentano forti legami con precedenti gruppi criminali vietnamiti, noti per l’uso di stealer malware e per il targeting di account Facebook business tramite campagne di phishing e malware. Le indagini mostrano che BatShadow è attivo da almeno un anno, utilizzando domini e indirizzi IP già collegati a campagne con altri malware come Agent Tesla, Lumma Stealer e Venom RAT.
Gli attacchi come quello orchestrato da BatShadow confermano quanto sia fondamentale per chi cerca lavoro online e per i professionisti del marketing mantenere alta la guardia, adottando soluzioni di sicurezza aggiornate e diffidando da allegati sospetti anche quando provengono da presunti recruiter.