Un gruppo hacker attivo da tempo, BatShadow, ha recentemente lanciato una nuova campagna molto insidiosa. Il loro obiettivo: candidati al lavoro e professionisti del marketing digitale. Per raggiungerli, usano tattiche di social engineering molto raffinate e un malware appena scoperto, denominato Vampire Bot, scritto in Go, che “insegue” chi cerca opportunità lavorative.
Il trucco dietro l’inganno
Il meccanismo è sofisticato e si fonda sull’inganno: gli attaccanti si spacciano per recruiter o società che offrono opportunità lavorative. Spediscono file mascherati da offerte di lavoro o documenti aziendali — tipicamente archivi ZIP con un documento PDF decoy e un file malevolo (shortcut .lnk o eseguibile) camuffato da PDF.
Se l’utente apre l’elemento “legittimo”, viene lanciata una catena di comandi PowerShell incorporati, che contattano un server remoto per scaricare altri payload. Tra questi c’è una versione “trappola” di un PDF per un lavoro al marketing, insieme a componenti di software per desktop remoto (come XtraViewer). L’idea è ottenere un accesso persistente al sistema compromesso.
Un dettaglio ingegnoso: gli attaccanti persuadono la vittima a usare Microsoft Edge per scaricare il contenibile maligno, superando blocchi di popup o redirect che altri browser (Chrome, Firefox) ostacolerebbero. L’installer può avere nomi come Marriott_Marketing_Job_Description.pdf.exe, con spazi aggiunti per far sembrare l’estensione “.pdf”.
Cosa può fare Vampire Bot
Una volta attivo, Vampire Bot può:
- Profilare il sistema infetto (tipo hardware, software installato)
- Rubare dati (file, credenziali)
- Scattare screenshot a intervalli configurabili
- Comunicare con il server di controllo per ricevere comandi o scaricare ulteriori moduli
Il server di controllo del gruppo utilizza domini camuffati, come api3.samsungcareers[.]work, rendendo più difficili le operazioni di tracciamento e blocco.
Chi sono le vittime target
BatShadow ha scelto come principali vittime coloro che sono in cerca di lavoro o operano nel marketing digitale. Perché? Sono più propensi a scaricare offerte ricevute tramite email o annunci apparentemente legittimi.
Gli analisti hanno collegato alcune attività del gruppo al Vietnam, sfruttando IP già registrati in precedenza in campagne dannose. Il gruppo non è nuovo: nei mesi precedenti ha distribuito malware tipo Agent Tesla, Lumma Stealer e RAT simili, sempre con tecniche e domini affini.
Perché questa campagna è pericolosa
Questo tipo di attacco è particolarmente efficace perché sfrutta la fiducia delle persone che cercano lavoro. Un file apparentemente innocuo può diventare porta d’ingresso per un attaccante che vuole controllare a distanza sistemi aziendali, rubare informazioni sensibili o usare le credenziali per attacchi più sofisticati.
Inoltre, il malware in Go è cross-platform (benché qui sembri sfruttato in ambiente Windows), leggero e con meno firme antivirus note, il che complica il rilevamento.
Come difendersi da Vampire Bot e BatShadow
Ecco alcune strategie che puoi applicare subito:
- Diffida di allegati da mittenti sconosciuti, specialmente se offrono lavoro senza preavviso
- Non abilitare macro o script PowerShell a meno che non sei certo dell’origine
- Usa soluzioni antivirus/EDR moderne che possano rilevare comportamento sospetto piuttosto che solo firme statiche
- Blocca domini e URL sospetti usati nella campagna — mantieni aggiornato il blocco degli IP
- Addestra i dipendenti e collaboratori su phishing e ingegneria sociale
- Monitora comportamenti insoliti come connessioni remote inattese o esportazione massiva di dati
Considerazioni finali
La vicenda di Vampire Bot mostra quanto la cybersecurity moderna non sia più una questione puramente tecnica, ma anche comportamentale. Gli hacker non attaccano più i sistemi: attaccano le persone.
Personalmente, trovo che il vero pericolo di campagne come quella di BatShadow non risieda nel codice, ma nel modo in cui imitano la normalità per rendere l’anomalia invisibile. È una trappola elegante, costruita per passare sotto i radar del buon senso.
Oggi il malware si nasconde nei dettagli: in un’email scritta bene, in un link dall’aspetto familiare, in un allegato apparentemente innocuo.
Ecco perché la difesa più potente resta quella che nessun antivirus può installare: la consapevolezza.
La lezione che Vampire Bot ci lascia è semplice ma essenziale: la sicurezza informatica non si limita a proteggere i dispositivi, ma a educare le persone che li usano. E in un mondo dove anche la speranza di un nuovo lavoro può trasformarsi in un’esca digitale, questo è più importante che mai.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!