Pesquisadores de segurança da Securonix identificaram uma nova campanha de malware baseado na linguagem de programação Go — também conhecida como Golang — que utiliza imagens de campo profundo do telescópio espacial James Webb para implantar malware em dispositivos.
O telescópio espacial James Webb da Nasa é conhecido pelas imagens impressionantes do espaço. Dada à sua tecnologia avançada, o telescópio pode capturar as primeiras galáxias criadas logo após o big bang. Os hackers estão cientes de sua popularidade entre os aficionados por astronomia e por imagens do espaço pelas pessoas em geral e decidiram monetizar com ataques de phishing.
Apelidada de GO#WEBBFUSCATOR, essa campanha persistente destaca a crescente preferência dos operadores de malware pela linguagem Go, provavelmente devido ao suporte multiplataforma que permite que hackers atinjam diferentes sistemas operacionais por meio de uma base de código comum.
Em seu relatório, os pesquisadores D. Iuzvyk, T. Peck e O. Kolesnikov explicam que esta campanha envolve o envio de e-mails de phishing que contêm um anexo do Office, da Microsoft, chamado Geos-Rates.docx. O arquivo é baixado como um modelo.
Esses e-mails são o ponto de entrada da cadeia de ataque. Quando o anexo é aberto, uma macro Visual Basic for Applications (VBA) ofuscada é executada automaticamente se o destinatário tiver habilitado macros. Quando executada, a macro baixa um arquivo de imagem intitulado OxB36F8GEEC634.jpg.
Veja isso
Hacker leva 1h12 min para acessar dados após ataque de phishing
Usuários do Microsoft 365 Business são alvo de phishing
Esta parece ser a imagem do First Deep Field enviada pelo telescópio, mas, na realidade, é uma carga útil codificada em Base64. O binário executável do Windows de 64 bits tem 1.7 MB de tamanho. Ele pode facilmente escapar de software antimalware e usa uma técnica chamada gobfuscation para utilizar uma ferramenta de ofuscação Golang, que está disponível publicamente no GitHub.
De acordo com os pesquisadores, os criminosos estão usando consultas/respostas DNS (sistema de nomes de domínio) criptografadas para se comunicar com o servidor de comando e controle (C&C), por meio do qual o malware pode aceitar e executar comandos enviados pelo servidor por meio do prompt de comando do Windows.
“Usar uma imagem legítima para construir um binário Golang com Certutil não é muito comum. Está claro que o autor original do binário projetou a carga útil com algumas metodologias triviais contraforense e anti-EDR [detecção e resposta de endpoint] em mente”, observaram os pesquisadores.