Vírusterjesztők egy James Webb űrteleszkóp által készített fénykép mögé rejtették el a kártékony programjukat.

A kiberbűnözők minden lehetőséget megragadnak arra, hogy a nemkívánatos kódjaikat véka alá rejtsék, és ezáltal ne kerüljenek sem a védelmi technológiák, sem a biztonsági szakemberek látókörébe. A GO#WEBBFUSCATOR néven emlegetett alvilági kampány mögött meghúzódó kibercsoport úgy gondolta, hogy mindezt csillagászati magasságokba emeli.

A támadások anatómiája

A szóban forgó támadások során a felhasználó első körben egy Word dokumentumot kap adathalász célú elektronikus levelekben. Amennyiben ezt megnyitja, és engedélyezi a makrók futtatását, akkor a számítógépére interneten keresztül egy JPG-kiterjesztésű fájl kerül fel. Ennek a neve jelenleg OxB36F8GEEC634.jpg, de természetesen ez bármikor megváltozhat.

Az ártalmatlan képfájlnak kinéző állomány megjelenítésekor nem történik semmi gyanakvásra okot adó történés, ugyanis azon a James Webb által idén nyáron készített egyik felvétel jelenik meg egészen pontosan a SMACS 0723 galaxis klaszterről. Csakhogy ez a fájl korántsem csak egy fényképet rejt. Egy szövegszerkesztővel való megnyitását követően láthatóvá válik, hogy abban egy Base64 kódolással ellátott karaktersorozat is lapul egy tanúsítványnak kinéző módon. Ennek dekódolását követően (amit a makró segítségével végeznek el a csalók a háttérben) egy 64 bites, futtatható állomány tűnik fel. Ez bemásolja a károkozásokhoz szükséges kódokat a ‘%%localappdata%%\microsoft\vault\’ mappába, valamint manipulálja a regisztrációs adatbázist. Ezt követően pedig DNS-alapú lekérdezésekkel elkezd kommunikálni a vezérlőszerverével, ahonnan utasításokat fogad.

A megjelenő kép Forrás:Securonix

A kép mögött lévő kód Forrás: Securonix

A Securonix biztonsági kutatói által vizsgált szerzemény nem kizárólag vizuálisan képes jól rejtőzködni a fénykép segítségével, hanem forráskód szinten is. A Golang nyelven íródott programot a felfedezésekor egyetlen VirusTotalon működő víruskereső motor sem minősítette kártékonynak.

A Securonix már közzétette az ártalmas program detektálásához szükséges információkat, így a szerzemény elleni védekezés jegyében érdemes naprakészen tartani a víruskeresőket. Ami pedig legalább ilyen fontos, hogy az Office állományok esetében a makrókat csak végső esetben, megfelelő körültekintés mellett szabad engedélyezni, különösen ismeretlen dokumentumok esetén.

Forrás: Biztonságportál