Хакери крият злонамерен софтуер в изображенията на телескопа James Webb

Анализатори на заплахи са забелязали нова кампания за зловреден софтуер, наречена „GO#WEBBFUSCATOR“, която разчита на фишинг имейли, злонамерени документи и космически изображения от телескопа James Webb за разпространение на зловреден софтуер.

Зловредният софтуер е написан на Golang, език за програмиране, който набира популярност сред киберпрестъпниците, тъй като е междуплатформен (Windows, Linux, Mac) и предлага повишена устойчивост на обратно инженерство и анализ.

В неотдавнашната кампания, открита от изследователи в Securonix, софтуерът изпуска полезни товари, които в момента не са маркирани като злонамерени от антивирусните машини на платформата за сканиране VirusTotal.

Верига на инфекцията

Инфекцията започва с фишинг имейл с прикачен злонамерен документ, „Geos-Rates.docx“, който изтегля шаблонен файл.

Този файл съдържа обфусциран VBS макрос, който се изпълнява автоматично, ако макросите са активирани в пакета на Office. След това кодът изтегля JPG изображение („OxB36F8GEEC634.jpg“) от отдалечен ресурс („xmlschemeformat[.]com“), декодира го в изпълним файл („msdllupdate.exe“) с помощта на certutil.exe и го стартира.

Obfuscated VBS macro (left) and decoded command to download the JPG file (right)

В програма за преглед на изображения .JPG показва галактическия клъстер SMACS 0723, публикуван от НАСА през юли 2022г.

Въпреки това, ако се отвори с текстов редактор, изображението разкрива допълнително съдържание, маскирано като включен сертификат, който е полезен товар, кодиран с Base64, който се превръща в злонамерен 64-битов изпълним файл.

Same file on image viewer (left) and on text editor (right)

Низовете на полезния товар са допълнително прикрити с помощта на ROT25, докато двоичният файл използва XOR, за да скрие  Golang от анализаторите. Освен това модулите използват промяна на регистъра, за да избегнат откриване на базата на сигнатури от инструменти за сигурност.

Функции на зловредния софтуер

Въз основа на това, което може да бъде изведено чрез динамичен анализ на зловреден софтуер, изпълнимият файл постига устойчивост, като се копира в „%%localappdata%%\microsoft\vault\’ и добавя нов ключ в регистъра.

При изпълнение злонамереният софтуер установява DNS връзка към командния и контролен (C2) сървър и изпраща криптирани заявки.

„Шифрованите съобщения се четат и декриптират на сървъра C2, като по този начин разкриват оригиналното му съдържание“, обяснява Securonix в доклада.

„В случая с GO#WEBBFUSCATOR, комуникацията със сървъра C2 се осъществява с помощта на `TXT-DNS` заявки, използвайки `nslookup` заявки към сървъра за имена, контролиран от нападателя. Цялата информация е кодирана с помощта на Base64.“

C2 може да отговори на злонамерения софтуер, като зададе времеви интервали между заявките за връзка, промени времето за изчакване на nslookup или изпрати команди за изпълнение чрез инструмента cmd.exe на Windows.

По време на тестването Securonix наблюдава заплахите, изпълняващи произволни команди за изброяване на своите тестови системи, стандартна първа стъпка за разузнаване.

Изследователите отбелязват, че домейните, използвани за кампанията, са регистрирани наскоро, като най-старият е от 29 май 2022г.

Securonix предостави набор от индикатори за компромис (IoCs), който включва както мрежови, така и базирани на хост индикатори.

Снимки:Securonix

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
Бъдете социални
Още по темата
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Разликите между локалната и...

Разликата между управлението на киберсигурността в...
25/09/2023

Хакери от Gelsemium са забе...

При атаките, насочени към правителство в...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!