Skip to main content

Аналитики угроз Securonix обнаружили новую кампанию вредоносного ПО GO#WEBBFUSCATOR: злоумышленники встраивают вирус в фотографии последнего телескопа Джеймса Уэбба. С этим есть как минимум две серьезные трудности: во-первых, изображения реально отображаются пользователю (он может даже не подозревать, что что-то не так); во-вторых, это вредоносное ПО в настоящее время не детектируется антивирусами (по данным портала VirusTotal). Об этом сообщает BleepingComputer.

Все начинается с фишингового письма с вложенным документом Geos-Rates.docx, который затем загружает файл шаблона. Содержит запутанный (обфусцированный) макрос VBS, который автоматически выполняется, если макросы доступны в MS Office на компьютере жертвы. Затем вредонос загружает изображение в формате JPG (OxB36F8GEEC634.jpg) с удаленного ресурса, декодирует его в исполняемый файл (msdllupdate.exe) с помощью certutil.exe и запускает его.

В изображения с последнего телескопа НАСА встроено вредоносное ПО, невидимое для антивирусов.

В изображения с последнего телескопа НАСА встроено вредоносное ПО, невидимое для антивирусов.

В результате всего этого пользователю показывают сенсационное изображение скопления галактик SMACS 0723, опубликованное НАСА в июле 2022 года. Однако если файл открыть в текстовом редакторе, а не в просмотрщике изображений, пользователь заметит дополнительные содержимое, замаскированное под включенный сертификат. Это полезная нагрузка в кодировке Base64, которая преобразуется в 64-битный вредоносный исполняемый файл.

В изображения с последнего телескопа НАСА встроено вредоносное ПО, невидимое для антивирусов.

В изображения с последнего телескопа НАСА встроено вредоносное ПО, невидимое для антивирусов.

Сам вирус написан на языке Golang, который набирает популярность среди хакеров благодаря своей кроссплатформенности (Windows, Linux, macOS) и более высокой устойчивости к реверс-инжинирингу и анализу. Исполняемый файл копирует себя в %%localappdata%%\microsoft\vault\ и добавляет новый ключ в реестр. Пока возможности вредоносной программы до конца не известны, но специалисты уже зафиксировали, как она выполняет произвольные команды через командную строку — это стандартный первый шаг системной разведки. В Securonix отметили, что все используемые злоумышленниками домены были зарегистрированы недавно, самый старый из них был создан 29 мая 2022 года.

Оставить комментарий