Malware-t raktak a James Webb teleszkóp képe mögé

Fenyegetéselemzők hívták fel a figyelmet egy „GO#WEBBFUSCATOR” névre keresztelt új malware-kampányra, ami adathalász e-mailekre, kártékony kódokat tartalmazó csatolmányokra és meglepő mód a James Webb teleszkóp űrképeire támaszkodik egy kártevő terjesztésében. A malware-t a kiberbűnözők körében egyre népszerűbb Golang nyelven írták, mivel hatékonyan lehet vele fejleszteni Windows, Linux és Mac platformokra is, továbbá fokozott kihívást jelent, amikor visszafejtésről és az elemzésekről van szó.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A Securonix szakértői szerint a fertőzés jellemzően egy adathalász e-maillel kezdődik, amelyhez a kártékony „Geos-Rates.docx” dokumentum tartozik csatolmányként. A fájl egy VBS makrót tartalmaz, ami automatikusan lefut, ha a felhasználó engedélyezte a makrók futtatását az Office programokban. Ezután a kód letölt az eszközre egy JPG képet is távoli forrásból, amit futtatható .exe fájllá alakít. Képnézegető programban a JPG fájl a James Webb űrtávcső által készített első felvételt mutatja az SMACS 0723 galaxishalmazról, amit nemrég tett közzé a NASA, egy szövegszerkesztőben megnyitva pedig mellékelt tanúsítványnak álcázza magát.

A szakértők eddigi elemzései alapján a kártevő bemásolja magát '%%localappdata%%\microsoft\vault\' mappába, és készít egy új rendszerleíró kulcsot is. Végrehajtáskor DNS-kapcsolatot létesít a parancs- és vezérlőkiszolgálóval (C2), és titkosított lekérdezéseket küld. A kutatók megjegyzik, hogy a kampányhoz használt domének viszonylag frissek, a legrégebbit idén május 29-én regisztrálták.