کد QR مطلبدریافت صفحه با کد QR

احتمال آلوده بودن تصویر تلسکوپ جیمز وب به بدافزار

اختصاصی افتانا

The Register , 12 شهريور 1401 ساعت 18:00

هکرها در حال استفاده کردن از تصاویر ثبت شده توسط تلسکوپ جیمز وب هستند تا با استفاده از آن روی ویندوزهای قربانیان خود بدافزار نصب کنند.


هکرها در حال استفاده کردن از تصاویر ثبت شده توسط تلسکوپ جیمز وب هستند تا با استفاده از آن روی ویندوزهای قربانیان خود بدافزار نصب کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هکرها از تصویری ثبت شده توسط تلسکوپ فضایی جیمز وب برای انتقال بدافزارهای ویندوز به رایانه‌های قربانیان استفاده می‌کنند.

این کد مخرب، که در Go نوشته شده است، در یک فایل jpeg. از اولین تصویر خیره‌کننده مناسب که توسط فضاپیمای جیمز وب ثبت شده، پنهان شده است.

محققان شرکت امنیت سایبری Securonix ادعا کردند که به طور خاص، این کد مبهم با Base۶۴ رمزگذاری شده است و در فایل jpeg. به عنوان گواهی مبدل شده است. محموله‌ای که GO#WEBBFUSCATOR نامیده می‌شود، توسط موتورهای آنتی‌ویروس در VirusTotal به عنوان مخرب شناسایی نشد.

این کمپین جرایم سایبری نه تنها برای استفاده از تصویر تلسکوپ، بلکه برای استفاده از Go نیز قابل توجه است که به طور فزاینده‌ای در بین افراد شرور، مانند گروه Mustang China ، برای ایجاد فایل‌های باینری که تشخیص و تجزیه و تحلیل را مختل می کند، محبوب می‌شود. فایل های اجرایی Go می‌توانند نسبت به سایر کدهای کامپایل شده برای مهندسی معکوس سخت‌تر باشند.

آلودگی این بدافزار با یک ایمیل فیشینگ شروع می‌شود که حاوی یک پیوست مایکروسافت آفیس به نام Geos-Rates[.]docx است که پس از باز شدن، یک فایل الگوی مخرب را دانلود می‌کند که حاوی یک ماکرو VBA مبهم است و به‌طور خودکار اجرا می‌شود.

مایکروسافت ماه گذشته ماکروهای منبع اینترنتی را به طور پیش‌فرض در آفیس مسدود کرد تا امنیت را بهبود بخشد، که گروه‌های تهدیدکننده را مجبور به یافتن روش‌های جایگزین برای راه‌اندازی حملات، مانند استفاده از فایل‌های Windows LNK کرده است.

اگر اسکریپت اجرا شود، فایل تصویری OxB۳۶F۸GEEC۶۳۴[.]jpg را دانلود می‌کند که به نظر می‌رسد عکس تلسکوپ Webb .jpeg باشد. پس از واکشی، کد از certutil.exe برای رمزگشایی آن به باینری و اجرای آن استفاده می‌شود.

باینری یک فایل اجرایی ویندوز ۶۴ بیتی است که حدود ۱.۷ مگابایت حجم دارد و از تعدادی تکنیک مبهم سازی برای مخفی شدن از سرویس‌های امنیتی و اختلال در تجزیه و تحلیل استفاده می‌کند. رشته های درون کد با استفاده از ROT۲۵ مبهم شدند و باینری در نتیجه Gobfuscation، یک ابزار مبتنی بر Go که در GitHub در دسترس است، به هم ریخته است.


کد مطلب: 19415

آدرس مطلب :
https://www.aftana.ir/news/19415/احتمال-آلوده-بودن-تصویر-تلسکوپ-جیمز-بدافزار

افتانا
  https://www.aftana.ir