Um grupo de cibercriminosos conhecido como BatShadow, com origem no Vietnã, está conduzindo uma nova campanha de phishing direcionada a candidatos de emprego e profissionais de marketing digital, distribuindo um malware inédito apelidado de Vampire Bot.
Os golpistas se passam por recrutadores e enviam arquivos maliciosos disfarçados de descrições de vagas e documentos corporativos. Ao abrir o arquivo ZIP recebido, a vítima encontra um PDF e um atalho (.LNK) ou executável mascarado como documento, que ao ser executado inicia o processo de infecção por meio de scripts em PowerShell. O código malicioso faz download de um documento falso de vaga para a rede Marriott, acompanhado de um software de acesso remoto chamado XtraViewer, usado para estabelecer persistência e controle no computador comprometido.
A engenharia social segue etapas sofisticadas: o documento exibido contém um link que supostamente permite “visualizar melhor a vaga”. Ao clicar, a vítima é redirecionada a uma página falsa que exibe uma mensagem de erro, sugerindo abrir o link no Microsoft Edge. Essa ação manual, tratada como “segura” pelo navegador, permite que o malware baixe automaticamente um arquivo ZIP com o executável disfarçado de PDF. Esse arquivo instala o Vampire Bot, um malware desenvolvido em Golang capaz de coletar informações do sistema, capturar telas, roubar dados e executar comandos remotos. O programa se comunica com um servidor controlado pelos atacantes usando o domínio api3.samsungcareers[.]work, que simula um site legítimo de carreiras da Samsung.
