Zdjęcie z Teleskopu Jamesa Webba może zawierać malware

Przebieg ataku malware ze zdjęcia Teleskopu Jamesa Webba

Kampania malware wykorzystująca fotografię znaną jako „Pierwsze Głębokie Pole Webba” została pierwszy raz zidentyfikowana przez firmę Securonix. Złośliwy kod oprogramowania napisany został w języku Golang. Infekcja rozpoczyna się od phishingowej wiadomości e-mail zawierającej załącznik Microsoft Office o nazwie Geos-Rates[.]docx. Plik zawiera zaszyty w metadanych adres URL, który przy włączonych makrach programu Word pobiera szkodliwy skrypt.

Plik binarny to 64-bitowy plik wykonywalny systemu Windows msdllupdate.exe o rozmiarze ok 1,7 MB. Wykorzystuje on szereg technik zaciemniania kodu, by skutecznie się ukrywać i utrudniać analizę. Z tego także powodu nie zostaje wykryty jako złośliwy przez VirusTotal. 

Jak działa kampania GO#WEBBFUSCATOR?

Badacze z Securonix zaobserwowali, że plik binarny malware wykorzystuje tunelowanie DNS do eksfiltracji danych. Wysyła unikalne zapytania DNS do docelowego serwera DNS C2. Malware wykorzystuje zapytania DNS by przechwycić dane z systemu ofiary.

Golang coraz popularniejszy wśród cyberprzestępców

Podsumowując Eksperci ds. cyberbezpieczeństwa uważnie śledzą rosnące wykorzystanie Go przez cyberprzestępców. Wg raportu opublikowanego przez   CrowdStrike od czerwca do sierpnia 2021 r. nastąpił 80-procentowy wzrost liczby przebadanych próbek złośliwego oprogramowania napisanych w Go.

W przypadku kampanii GO#WEBBFUSCATOR jak i każdej innej należy pamiętać o podstawowych zasadach bezpieczeństwa w Internecie. Zwłaszcza o tej mówiącej, że nie należy nigdy pobierać żadnych załączników z  e-maili pochodzących z niewiadomego źródła.

Źródło:

https://www.theregister.com/2022/09/01/webb_telescrope_malware/