Анализатори на заплахи са забелязали нова кампания за зловреден софтуер, наречена „GO#WEBBFUSCATOR“, която разчита на фишинг имейли, злонамерени документи и космически изображения от телескопа James Webb за разпространение на зловреден софтуер.

Зловредният софтуер е написан на Golang, език за програмиране, който набира популярност сред киберпрестъпниците, тъй като е междуплатформен (Windows, Linux, Mac) и предлага повишена устойчивост на обратно инженерство и анализ.

В неотдавнашната кампания, открита от изследователи в Securonix, софтуерът изпуска полезни товари, които в момента не са маркирани като злонамерени от антивирусните машини на платформата за сканиране VirusTotal.

Верига на инфекцията

Инфекцията започва с фишинг имейл с прикачен злонамерен документ, „Geos-Rates.docx“, който изтегля шаблонен файл.

Този файл съдържа обфусциран VBS макрос, който се изпълнява автоматично, ако макросите са активирани в пакета на Office. След това кодът изтегля JPG изображение („OxB36F8GEEC634.jpg“) от отдалечен ресурс („xmlschemeformat[.]com“), декодира го в изпълним файл („msdllupdate.exe“) с помощта на certutil.exe и го стартира.

Obfuscated VBS macro (left) and decoded command to download the JPG file (right)

В програма за преглед на изображения .JPG показва галактическия клъстер SMACS 0723, публикуван от НАСА през юли 2022г.

Въпреки това, ако се отвори с текстов редактор, изображението разкрива допълнително съдържание, маскирано като включен сертификат, който е полезен товар, кодиран с Base64, който се превръща в злонамерен 64-битов изпълним файл.

Same file on image viewer (left) and on text editor (right)

Низовете на полезния товар са допълнително прикрити с помощта на ROT25, докато двоичният файл използва XOR, за да скрие  Golang от анализаторите. Освен това модулите използват промяна на регистъра, за да избегнат откриване на базата на сигнатури от инструменти за сигурност.

Функции на зловредния софтуер

Въз основа на това, което може да бъде изведено чрез динамичен анализ на зловреден софтуер, изпълнимият файл постига устойчивост, като се копира в „%%localappdata%%\microsoft\vault\’ и добавя нов ключ в регистъра.

При изпълнение злонамереният софтуер установява DNS връзка към командния и контролен (C2) сървър и изпраща криптирани заявки.

„Шифрованите съобщения се четат и декриптират на сървъра C2, като по този начин разкриват оригиналното му съдържание“, обяснява Securonix в доклада.

„В случая с GO#WEBBFUSCATOR, комуникацията със сървъра C2 се осъществява с помощта на `TXT-DNS` заявки, използвайки `nslookup` заявки към сървъра за имена, контролиран от нападателя. Цялата информация е кодирана с помощта на Base64.“

C2 може да отговори на злонамерения софтуер, като зададе времеви интервали между заявките за връзка, промени времето за изчакване на nslookup или изпрати команди за изпълнение чрез инструмента cmd.exe на Windows.

По време на тестването Securonix наблюдава заплахите, изпълняващи произволни команди за изброяване на своите тестови системи, стандартна първа стъпка за разузнаване.

Изследователите отбелязват, че домейните, използвани за кампанията, са регистрирани наскоро, като най-старият е от 29 май 2022г.

Securonix предостави набор от индикатори за компромис (IoCs), който включва както мрежови, така и базирани на хост индикатори.

Снимки:Securonix

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
Бъдете социални
Още по темата
02/02/2025

Геймърите с по-ниски социал...

Ново проучване, публикувано в Computers in...
13/01/2025

Infostealer се маскира като...

3аплахите разпространяват зловреден софтуер за кражба...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!