Хакеры используют изображения телескопа Джеймса Уэбба НАСА для маскировки полезной нагрузки вредоносного ПО

Космический телескоп Джеймса Уэбба (JWST) был запущен в этом году после более чем 20-летнего проектирования и разработки. Это настоящий переломный момент для астрономии и, к сожалению, еще один способ интернет-неудачников распространять вредоносное ПО. Исследователи безопасности выявили новую кампанию вредоносного ПО, которая маскировала полезные нагрузки атаки под впечатляющие изображения с телескопа Уэбба. Это увеличивает вероятность того, что люди откроют зараженные вредоносным ПО изображения.

Как и другие сложные вредоносные программы, так называемая кампания GO#WEBBFUSCATOR не предполагает, что кто-то запустит незащищенный исполняемый файл. По данным охранной фирмы Securonix, заражение начинается с фишинговой электронной почты. Сообщения содержат вложение Microsoft Word под названием «Geos-Rates.docx», которое при открытии загружает файл вредоносного шаблона. Если в Office включены макросы, приложение выполнит сценарий VB в шаблоне — именно здесь начинается настоящая атака.

Вредоносное ПО на основе Go загружает файл изображения с именем OxB36F8GEEC634.jpg. Если вы откроете его в средстве просмотра изображений, вы можете не заметить, что что-то не так. Файл выглядит как уменьшенная версия скопления галактик SMACS 0723, известного в просторечии как Глубокое Поле Уэбба. Он покрывает участок неба размером с песчинку, но невероятная оптика Уэбба и высокая чувствительность в инфракрасном спектре раскрывают море из тысяч галактик .

вебб вредоносное ПО 1
Жертва вредоносного ПО, полагая, что она только что заглянула в бесконечность, проживет свой день, не осознавая, что изображение содержит полезную нагрузку в кодировке Base64. Вредоносное ПО декодирует его в исполняемый файл (msdllupdate.exe) и запускает его. Когда вредоносная программа полностью развернута, она копирует себя в дополнительные каталоги и добавляет ключи реестра для обеспечения сохранения. Securonix сообщает , что вредоносное ПО предоставляет злоумышленнику удаленный контроль над системой. Исследователи наблюдали, как авторы использовали произвольные команды перечисления, что является обычным первым шагом в анализе системы для дальнейшего использования.

Вы можете избежать этого неприятного фрагмента кода несколькими простыми способами, начиная с этого старого каштана: не открывайте файлы, которые приходят в подозрительных электронных письмах, даже если они не являются исполняемыми. Вы также можете убедиться, что макросы отключены в пакете Office, поскольку это распространенный метод загрузки вредоносных программ. Наконец, если вы хотите посмотреть на удивительные изображения, сделанные космическим телескопом Джеймса Уэбба, просто перейдите прямо к источнику или позвольте нам выделить для вас самые вдохновляющие изображения здесь .

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал