Los piratas informáticos están utilizando imágenes espaciales del telescopio James Webb para ocultar y distribuir malware.
Como informó Bleeping Computer, se ha descubierto una nueva campaña de malware titulada ‘GO#WEBBFUSCATOR’, que también involucra tanto correos electrónicos de phishing como documentos maliciosos.
Inicialmente, se envía un correo electrónico de phishing llamado «Geos-Rates.docx» a las víctimas, quienes, sin saberlo, descargan un archivo de plantilla si caen en la trampa.
Si el paquete de Office del sistema de destino tiene habilitado el elemento de macros, el archivo antes mencionado ejecuta automáticamente una macro VBS. Esto permitirá que una imagen JPG se descargue de forma remota, después de lo cual se decodifica en un formato ejecutable y finalmente se carga en la máquina.
Si el archivo en sí se abre con una aplicación de visor de imágenes, la imagen muestra el cúmulo de galaxias SMACS 0723, capturado por el telescopio James Webb lanzado recientemente. Dicho esto, abrir el mismo archivo con un editor de texto revela cómo la imagen disfraza una carga útil que se convierte en un ejecutable de 64 bits basado en malware.
Una vez que se inicia con éxito, el malware permite que se configure una conexión DNS al servidor de comando y control (C2). Los piratas informáticos pueden ejecutar comandos a través de la herramienta cmd.exe de Windows.
Para ayudar a evitar la detección, los actores de amenazas incorporaron el uso de XOR para el binario con el fin de ocultar los ensamblajes de Golang (un lenguaje de programación) de los analistas. Estos ensamblajes también utilizan la alteración de casos para que las herramientas de seguridad no los detecten.
En cuanto a Golang, Bleeping Computer destaca cómo se está volviendo cada vez más popular entre los ciberdelincuentes debido a sus capacidades multiplataforma (Windows, Linux y Mac). Y como se evidencia arriba, es más difícil de detectar.
Los investigadores de Securonix descubrieron que los dominios utilizados para la campaña de malware se registraron el 29 de mayo de 2022. Las cargas útiles en cuestión aún no han sido marcadas como maliciosas por los sistemas de escaneo antivirus a través de VirusTotal.
Ha sido un año ajetreado para los piratas informáticos que buscan entregar malware. Además de los métodos habituales probados y probados para propagar archivos maliciosos y similares, incluso están retrasando el lanzamiento de sus códigos peligrosos una vez que llegan a las PC hasta por un mes.
Mientras tanto, se están incorporando páginas DDoS falsas en los sitios de WordPress para propagar malware también.
Recomendaciones de los editores