Хакеры начали встраивать вредоносы в снимки «Джеймса Уэбба»
Аналитики угроз из Securonix обнаружили новую кампанию атак под названием GO#WEBBFUSCATOR, которая использует фишинговые электронные письма, вредоносные документы и космические снимки с телескопа «Джеймс Уэбб» для распространения вредоносных программ.
Сами вредоносы написаны на Golang, который набирает популярность среди киберпреступников, поскольку является кроссплатформенным (Windows, Linux, Mac) и демонстрирует повышенную устойчивость к реверс-инжинирингу и анализу.
Хакеры используют полезные нагрузки, которые в настоящее время не помечены антивирусами как вредоносные на платформе сканирования VirusTotal.
Заражение начинается с фишингового письма с прикреплённым вредоносным документом «Geos-Rates.docx», который загружает файл шаблона.
Этот файл содержит запутанный макрос VBS, который автоматически выполняется, если макросы включены в пакете Office. Затем код загружает изображение в формате JPG («OxB36F8GEEC634.jpg») с удалённого ресурса («xmlschemeformat[.]com»), декодирует его в исполняемый файл («msdllupdate.exe») с помощью certutil.exe и запускает. JPG-файл в режиме просмотра показывает скопление галактик SMACS 0723, опубликованное НАСА в качестве снимка «Джеймса Уэбба» в июле 2022 года.
Замаскированный макрос VBS (слева) и декодированная команда для загрузки файла JPG (справа)
Однако при открытии в текстовом редакторе виден дополнительный контент, замаскированный под включенный сертификат, представляющий собой полезную нагрузку в кодировке Base64, которая превращается во вредоносный 64-разрядный исполняемый файл. Кроме того, сборки используют изменение регистра, чтобы избежать обнаружения средствами безопасности на основе сигнатур.
Файл в программе просмотра изображений (слева) и в текстовом редакторе (справа)
Исполняемый файл обеспечивает устойчивость, копируя себя в »%%localappdata%%\microsoft\vault\» и добавляя новый раздел реестра.
При выполнении вредоносное ПО устанавливает DNS-соединение с сервером управления и контроля (C2) и отправляет зашифрованные запросы. Они считываются и расшифровываются на сервере, что раскрывает их исходное содержимое. Связь с сервером C2 реализуется с помощью запросов TXT-DNS с использованием запросов nslookup к подконтрольному злоумышленнику серверу имён. Вся информация кодируется с использованием Base64.
C2 может реагировать на вредоносное ПО, устанавливая временные интервалы между запросами на подключение, изменяя время ожидания nslookup или отправляя команды для выполнения с помощью инструмента Windows cmd.exe.
Во время тестирования Securonix наблюдала, как злоумышленники запускали произвольные команды перечисления на своих тестовых системах, что является стандартным первым шагом атаки. Исследователи отмечают, что домены, используемые для кампании, были зарегистрированы недавно, самый старый датируется 29 мая 2022 года.
Securonix предоставил набор индикаторов компрометации (IoC), который включает в себя как сетевые, так и хостовые индикаторы.
Ранее в этом году Microsoft объявила, что по умолчанию будет блокировать макросы VBA в загружаемых документах Office. Однако летом компания изменила своё решение.