В снимки с новейшего телескопа NASA встраивают вредонос, не видимый антивирусам
Специалисты по анализу угроз из Securonix обнаружили новую кампанию GO#WEBBFUSCATOR по распространению вредоноса: злоумышленники встраивают вирус в фотографии с новейшего телескопа James Webb. В этом есть как минимум две серьёзные сложности: во-первых, снимки действительно отображаются пользователю (он может даже не заметить неладное); во-вторых, этот вредонос на данный момент не фиксируются антивирусами (по данным портала VirusTotal). Об этом сообщает BleepingComputer.
Всё начинается с фишингового письма с вложенным документом Geos-Rates.docx, который впоследствии загружает tamplate-файл. Он содержит обфусцированный (запутанный) VBS-макрос, автоматически исполняющийся в случае доступности макросов в MS Office на компьютере жертвы. Затем вредонос загружает JPG-изображение (OxB36F8GEEC634.jpg) с удаленного ресурса, декодирует его в исполняемый файл (msdllupdate.exe) с помощью certutil.exe и запускает его.
В результате всего этого пользователю отображается нашумевший снимок скопления галактик SMACS 0723, опубликованный NASA в июле 2022 года. Однако если открыть файл не в программе для просмотра изображений, а в текстовом редакторе, то пользователь заметит дополнительное содержимое, замаскированное под включённый сертификат. Он представляет собой закодированную в Base64 полезную нагрузку, превращающуюся во вредоносный 64-битный исполняемый файл.
Сам вирус написан на языке Golang, который активно набирает популярность среди хакеров благодаря кроссплатформенности (Windows, Linux, macOS) и повышенной устойчивости к ревёрс-инжинирингу и анализу. Исполняемый файл копирует себя в %%localappdata%%\microsoft\vault\ и добавляет новый ключ в реестр. Пока что возможности вредоноса до конца не известны, но эксперты уже зафиксировали, как он выполняет произвольные команды через командную строку — это стандартный первый шаг для разведки системы. В Securonix отметили, что все используемые злоумышленниками домены зарегистрированы недавно, самый старый из них создан 29 мая 2022 года.