Niesamowita fotografia wykonana przez Kosmiczny Teleskop Jamesa Webba przedstawiająca tysiące galaktyk wzbudziła wśród społeczeństwa niemałe zainteresowanie. Zdjęcie to z jest również niejako symbolem rozpoczęcia nowej ery w astronomii. Oprócz tego niespodziewanie stało się też narzędziem wykorzystywanym przez cyberprzestępców do przemycania szkodliwego oprogramowania.
Przebieg ataku malware ze zdjęcia Teleskopu Jamesa Webba
Kampania malware wykorzystująca fotografię znaną jako „Pierwsze Głębokie Pole Webba” została pierwszy raz zidentyfikowana przez firmę Securonix. Złośliwy kod oprogramowania napisany został w języku Golang. Infekcja rozpoczyna się od phishingowej wiadomości e-mail zawierającej załącznik Microsoft Office o nazwie Geos-Rates[.]docx. Plik zawiera zaszyty w metadanych adres URL, który przy włączonych makrach programu Word pobiera szkodliwy skrypt.
Aktywacja skryptu powoduje pobranie obrazu OxB36F8GEEC634[.]jpg, który wydaje się być zdjęciem z Teleskopu Jamesa Webba. Tymczasem właśnie ta kopia obrazu zawiera złośliwy kod zamaskowany jako certyfikat. Po pobraniu jest on dekodowany do pliku binarnego i wykonywany przy użyciu polecenia cerutil.exe.
Plik binarny to 64-bitowy plik wykonywalny systemu Windows msdllupdate.exe o rozmiarze ok 1,7 MB. Wykorzystuje on szereg technik zaciemniania kodu, by skutecznie się ukrywać i utrudniać analizę. Z tego także powodu nie zostaje wykryty jako złośliwy przez VirusTotal.
Jak działa kampania GO#WEBBFUSCATOR?
Zdjęcie z Teleskopu Webba może być używane przez cyberprzestępców z kilku powodów. Jednym z nich jest bardzo wysoka rozdzielczość zdjęć publikowanych przez NASA, co skutkuje ich dużym rozmiarem. Usypia to czujność ofiary, ponieważ w innym wypadku duży rozmiar takiego pliku mógłby wzbudzić pewne podejrzenia. Fotografie NASA są również w ostatnim czasie bardzo popularne w Internecie, więc nie zwracają uwagi i nie wydają się podejrzane.
Badacze z Securonix zaobserwowali, że plik binarny malware wykorzystuje tunelowanie DNS do eksfiltracji danych. Wysyła unikalne zapytania DNS do docelowego serwera DNS C2. Malware wykorzystuje zapytania DNS by przechwycić dane z systemu ofiary.
Język Golang coraz popularniejszy wśród cyberprzestępców
Opisywana kampania nazwana GO#WEBBFUSCATOR wykorzystuje złośliwy kod napisany w języku programowania Golang. Popularność tego języka wśród cyberprzestępców wzrasta coraz szybciej. Do niedawna złośliwe aplikacje zawierały zazwyczaj kod tworzony w językach C, C++ lub Perl. Go sprawia, że programy są trudniejsze do analizy i inżynierii wstecznej ze względu chociażby na jego stosunkowo mniejszą znajomość. Ponadto elastyczność Golang pozwala twórcom malware łatwo kompilować kod przy użyciu wspólnej bazy kodu dla innych systemów operacyjnych i architektur.
Podsumowując Eksperci ds. cyberbezpieczeństwa uważnie śledzą rosnące wykorzystanie Go przez cyberprzestępców. Wg raportu opublikowanego przez CrowdStrike od czerwca do sierpnia 2021 r. nastąpił 80-procentowy wzrost liczby przebadanych próbek złośliwego oprogramowania napisanych w Go.
W przypadku kampanii GO#WEBBFUSCATOR jak i każdej innej należy pamiętać o podstawowych zasadach bezpieczeństwa w Internecie. Zwłaszcza o tej mówiącej, że nie należy nigdy pobierać żadnych załączników z e-maili pochodzących z niewiadomego źródła.
Źródło: https://www.theregister.com/2022/09/01/webb_telescrope_malware/