Malware-t raktak a James Webb teleszkóp képe mögé

Fenyegetéselemzők hívták fel a figyelmet egy „GO#WEBBFUSCATOR” névre keresztelt új malware-kampányra, ami adathalász e-mailekre, kártékony kódokat tartalmazó csatolmányokra és meglepő mód a James Webb teleszkóp űrképeire támaszkodik egy kártevő terjesztésében. A malware-t a kiberbűnözők körében egyre népszerűbb Golang nyelven írták, mivel hatékonyan lehet vele fejleszteni Windows, Linux és Mac platformokra is, továbbá fokozott kihívást jelent, amikor visszafejtésről és az elemzésekről van szó.

A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.

A Securonix szakértői szerint a fertőzés jellemzően egy adathalász e-maillel kezdődik, amelyhez a kártékony „Geos-Rates.docx” dokumentum tartozik csatolmányként. A fájl egy VBS makrót tartalmaz, ami automatikusan lefut, ha a felhasználó engedélyezte a makrók futtatását az Office programokban. Ezután a kód letölt az eszközre egy JPG képet is távoli forrásból, amit futtatható .exe fájllá alakít. Képnézegető programban a JPG fájl a James Webb űrtávcső által készített első felvételt mutatja az SMACS 0723 galaxishalmazról, amit nemrég tett közzé a NASA, egy szövegszerkesztőben megnyitva pedig mellékelt tanúsítványnak álcázza magát.

A szakértők eddigi elemzései alapján a kártevő bemásolja magát '%%localappdata%%\microsoft\vault\' mappába, és készít egy új rendszerleíró kulcsot is. Végrehajtáskor DNS-kapcsolatot létesít a parancs- és vezérlőkiszolgálóval (C2), és titkosított lekérdezéseket küld. A kutatók megjegyzik, hogy a kampányhoz használt domének viszonylag frissek, a legrégebbit idén május 29-én regisztrálták.