Ερευνητές ασφαλείας ανακάλυψαν μια νέα καμπάνια διανομής malware την οποία ονόμασαν “GO#WEBBFUSCATOR” και βασίζεται σε phishing emails, κακόβουλα έγγραφα και… μια εικόνα από το διαστημικό τηλεσκόπιο James Webb.

Το κακόβουλο λογισμικό είναι γραμμένο σε Golang, μια γλώσσα προγραμματισμού που χρησιμοποιείται όλο και πιο συχνά από εγκληματίες του κυβερνοχώρου επειδή είναι cross-platform (Windows, Linux, Mac) και “αντιστέκεται” στο reverse engineering και την ανάλυση.

Σύμφωνα με τους ερευνητές της Securonix, σε αυτή τη νέα malware καμπάνια, οι επιτιθέμενοι εγκαθιστούν payloads, τα οποία που επί του παρόντος δεν επισημαίνονται ως κακόβουλα από μηχανές προστασίας από ιούς, στην πλατφόρμα σάρωσης VirusTotal.

Δείτε επίσης: Crypto-mining malware παρουσιάζεται σαν Google Translate Desktop app

Πώς γίνεται η μόλυνση;

Η μόλυνση ξεκινά με ένα phishing email που περιέχει ένα συνημμένο κακόβουλο έγγραφο, το “Geos-Rates. docx”. Αυτό το έγγραφο κατεβάζει ένα template file, το οποίο αποθηκεύεται στο σύστημα.

Αυτό το αρχείο περιέχει μια obfuscated VBS μακροεντολή που εκτελείται αυτόματα εάν οι μακροεντολές είναι ενεργοποιημένες στο Office suite. Στη συνέχεια, ο κώδικας κατεβάζει μια εικόνα JPG (“OxB36F8GEEC634.jpg”) από έναν απομακρυσμένο πόρο (“xmlschemeformat[.]com”), την αποκωδικοποιεί σε ένα εκτελέσιμο αρχείο (“msdllupdate.exe”) χρησιμοποιώντας το certutil. exe και την ανοίγει.

Σε ένα πρόγραμμα προβολής εικόνων, η εικόνα .JPG δείχνει το σμήνος γαλαξιών SMACS 0723, που δημοσιεύτηκε από τη NASA τον Ιούλιο του 2022 και τραβήχτηκε από το ισχυρότερο διαστημικό τηλεσκόπιο στον κόσμο, το James Webb.

Δείτε επίσης: FBI: Οι χάκερ εκμεταλλεύονται DeFi bugs για να κλέψουν crypto

Ωστόσο, εάν ανοίξει με ένα πρόγραμμα επεξεργασίας κειμένου, η εικόνα αποκαλύπτει πρόσθετο περιεχόμενο μεταμφιεσμένο ως πιστοποιητικό, το οποίο είναι ένα payload με κωδικοποίηση Base64 που μετατρέπεται στο κακόβουλο εκτελέσιμο αρχείο 64 bit.

Οι συμβολοσειρές του payload γίνονται ακόμα πιο obfuscated χρησιμοποιώντας το ROT25, ενώ το binary χρησιμοποιεί XOR για να κρύψει τα Golang assemblies από τους αναλυτές. Επιπλέον, τα Golang assemblies χρησιμοποιούν case alteration για να αποφύγουν τον signature-based εντοπισμό από εργαλεία ασφαλείας

.

Τι κάνει το malware που διανέμεται με τις εικόνες του James Webb;

Σύμφωνα με τους ερευνητές, το κακόβουλο εκτελέσιμο επιτυγχάνει persistence αντιγράφοντας τον εαυτό του στο ‘%%localappdata%%\microsoft\vault\’ και προσθέτοντας ένα νέο registry key.

Κατά την εκτέλεση, το malware δημιουργεί DNS connection με τον command and control (C2) server και στέλνει κρυπτογραφημένα queries.

Το C2 μπορεί να ανταποκριθεί στο malware ορίζοντας χρονικά διαστήματα μεταξύ των αιτημάτων σύνδεσης, αλλάζοντας το χρονικό όριο λήξης nslookup ή στέλνοντας εντολές για εκτέλεση μέσω του εργαλείου cmd. exe των Windows.

Κατά τη διάρκεια της δοκιμής, η Securonix παρατήρησε τους επιτιθέμενους να εκτελούν enumeration commands στα δοκιμαστικά της συστήματα, ένα τυπικό πρώτο βήμα αναγνώρισης.

Δείτε επίσης: Η Google λανσάρει πρόγραμμα Bug Bounty για λογισμικό ανοιχτού κώδικα

Σύμφωνα με τους ερευνητές, τα domains που χρησιμοποιήθηκαν για την καμπάνια καταχωρήθηκαν πρόσφατα (το παλαιότερο στις 29 Μαΐου 2022).

Η Securonix έχει παράσχει ένα σύνολο δεικτών παραβίασης (IoC). Περισσότερες λεπτομέρειες γι’ αυτή την ενδιαφέρουσα phishing – malware καμπάνια, που εκμεταλλεύεται εικόνα του James Webb, μπορείτε να βρείτε στην έκθεση της εταιρείας.

Πηγή: www.bleepingcomputer.com