×

Вредоносное ПО скрывается в снимках далеких галактик

Вредоносное ПО скрывается в снимках далеких галактик

В ходе новой вредоносной кампании злоумышленники вшивают вредоносное ПО в фотографии с телескопа Джеймс Уэбб.

Аналитики Securonix обнаружили новую вредоносную кампанию под названием "GO#WEBBFUSCATOR", которая которая использует фишинговые письма, вредоносные документы и снимки с телескопа Джеймс Уэбб для распространения вредоносного ПО. Вредонос написан на языке программирования Golang и не обнаруживается антивирусными системами на VirusTotal.

Заражение начинается с фишингового письма с вложенным вредоносным документом "Geos-Rates.docx", который загружает файл, содержащий обфусцированный VBS-макрос, который автоматически запускается, если макросы включены в пакете Office. Затем код загружает JPG-изображение ("OxB36F8GEEC634.jpg") с удаленного ресурса ("xmlschemeformat[.]com"), декодирует его в исполняемый файл ("msdllupdate.exe") с помощью certutil.exe и запускает его.

Обфусцированный VBS-макрос (слева) и декодированная команда для загрузки JPG-файла (справа)

В программе просмотра изображений JPG-файл показывает скопление галактик SMACS 0723, опубликованное NASA в июле 2022 года. Однако, если открыть изображение в текстовом редакторе, то можно обнаружить дополнительное содержимое, замаскированное под сертификат, который представляет собой закодированную в Base64 полезную нагрузку, которая превращается во вредоносный 64-битный исполняемый файл.

Один и тот же файл в программе просмотра изображений (слева) и в текстовом редакторе (справа)

Строки полезной нагрузки дополнительно обфусцированы с помощью ROT25, а двоичный файл использует XOR-шифрование, чтобы скрыть вредоноса от аналитиков. Кроме того, вредоносное ПО изменяет регистр, чтобы избежать обнаружения службами безопасности на основе сигнатур.

Специалисты проанализировали вредоноса и сделали вывод, что он закрепляется в системе, копируя себя в '%%localappdata%%\microsoft\vault\' и добавляя новый ключ реестра.

Запустившись, вредоносная программа устанавливает DNS-соединение с C&C-сервером злоумышленников и отправляет зашифрованные запросы. На C&C-сервере сообщения считываются и расшифровываются. Кроме того, сервер злоумышленников может устанавливать временные интервалы между запросами на соединение, изменяя таймаут с помощью nslookup, а также способен посылать команды, которые выполняются в командной строке Windows.

Исследователи отмечают, что домены, используемые в ходе кампании, были зарегистрированы недавно. Securonix уже предоставила набор индикаторов компрометации, включающий как сетевые, так и хостовые индикаторы.

Хакер взломал PlayStation 5 и выпустил эксплойт для консоли

Эксплоит будет полезен тем, кто хочет изучить внутреннюю систему PS5.

Стажер АНБ арестован за попытку продать секреты США иностранному правительству

Арестованному грозит смертная казнь или пожизненное заключение.

Китайские хакеры нанесли удар по цепочке поставок Comm100 Live Chat

Какое-то время вместе с программой можно было получить неприятный “подарок” в виде трояна.