هکرها در حال استفاده کردن از تصاویر ثبت شده توسط تلسکوپ جیمز وب هستند تا با استفاده از آن روی ویندوزهای قربانیان خود بدافزار نصب کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هکرها از تصویری ثبت شده توسط تلسکوپ فضایی جیمز وب برای انتقال بدافزارهای ویندوز به رایانههای قربانیان استفاده میکنند.
این کد مخرب، که در Go نوشته شده است، در یک فایل jpeg. از اولین تصویر خیرهکننده مناسب که توسط فضاپیمای جیمز وب ثبت شده، پنهان شده است.
محققان شرکت
امنیت سایبری Securonix ادعا کردند که به طور خاص، این کد مبهم با Base۶۴ رمزگذاری شده است و در فایل jpeg. به عنوان گواهی مبدل شده است. محمولهای که GO#WEBBFUSCATOR نامیده میشود، توسط موتورهای آنتیویروس در VirusTotal به عنوان مخرب شناسایی نشد.
این کمپین جرایم سایبری نه تنها برای استفاده از تصویر تلسکوپ، بلکه برای استفاده از Go نیز قابل توجه است که به طور فزایندهای در بین افراد شرور، مانند گروه Mustang China ، برای ایجاد فایلهای باینری که تشخیص و تجزیه و تحلیل را مختل می کند، محبوب میشود. فایل های اجرایی Go میتوانند نسبت به سایر کدهای کامپایل شده برای مهندسی معکوس سختتر باشند.
آلودگی این بدافزار با یک ایمیل
فیشینگ شروع میشود که حاوی یک پیوست مایکروسافت آفیس به نام Geos-Rates[.]docx است که پس از باز شدن، یک فایل الگوی مخرب را دانلود میکند که حاوی یک ماکرو VBA مبهم است و بهطور خودکار اجرا میشود.
مایکروسافت ماه گذشته ماکروهای منبع اینترنتی را به طور پیشفرض در آفیس مسدود کرد تا امنیت را بهبود بخشد، که گروههای تهدیدکننده را مجبور به یافتن روشهای جایگزین برای راهاندازی حملات، مانند استفاده از فایلهای Windows LNK کرده است.
اگر اسکریپت اجرا شود، فایل تصویری OxB۳۶F۸GEEC۶۳۴[.]jpg را دانلود میکند که به نظر میرسد عکس تلسکوپ Webb .jpeg باشد. پس از واکشی، کد از certutil.exe برای رمزگشایی آن به باینری و اجرای آن استفاده میشود.
باینری یک فایل اجرایی ویندوز ۶۴ بیتی است که حدود ۱.۷ مگابایت حجم دارد و از تعدادی تکنیک مبهم سازی برای مخفی شدن از سرویسهای امنیتی و اختلال در تجزیه و تحلیل استفاده میکند. رشته های درون کد با استفاده از ROT۲۵ مبهم شدند و باینری در نتیجه Gobfuscation، یک ابزار مبتنی بر Go که در GitHub در دسترس است، به هم ریخته است.