Weltraumbilder des James-Webb-Teleskops werden von Hackern verwendet, um Malware zu verstecken und zu verbreiten.
Wie von Bleeping Computer berichtet, wurde eine neue Malware-Kampagne mit dem Titel „GO#WEBBFUSCATOR“ aufgedeckt, die ebenfalls sowohl Phishing-E-Mails als auch bösartige Dokumente umfasst.
Zunächst wird eine Phishing-E-Mail mit dem Namen „Geos-Rates.docx“ an die Opfer gesendet, die dann unwissentlich eine Vorlagendatei herunterladen würden, wenn sie auf die Falle tappen.
Sollte die Office-Suite des Zielsystems das Makro-Element aktiviert haben, führt die oben genannte Datei anschließend automatisch ein VBS-Makro aus. Dadurch kann ein JPG-Bild aus der Ferne heruntergeladen, anschließend in ein ausführbares Format dekodiert und schließlich auf die Maschine geladen werden.
Wenn die Datei selbst mit einer Bildbetrachteranwendung geöffnet wird, zeigt das Bild den Galaxienhaufen SMACS 0723, der vom kürzlich gestarteten James-Webb-Teleskop aufgenommen wurde. Das Öffnen derselben Datei mit einem Texteditor zeigt jedoch, wie das Bild eine Nutzlast tarnt, die sich in eine auf Malware basierende ausführbare 64-Bit-Datei verwandelt.
Nach erfolgreichem Start ermöglicht die Schadsoftware den Aufbau einer DNS-Verbindung zum Command-and-Control-Server (C2). Hacker können dann Befehle über das Windows-Tool cmd.exe ausführen.
Um eine Entdeckung zu vermeiden, haben die Bedrohungsakteure die Verwendung von XOR für die Binärdatei integriert, um Golang-Assemblys (eine Programmiersprache) vor Analysten zu verbergen. Diese Baugruppen verwenden auch eine Gehäuseänderung, damit sie nicht von Sicherheitstools erfasst wird.
Was Golang betrifft, hebt Bleeping Computer hervor, wie es aufgrund seiner plattformübergreifenden (Windows, Linux und Mac) Fähigkeiten bei Cyberkriminellen immer beliebter wird. Und wie oben gezeigt, ist es schwieriger zu erkennen.
Forscher von Securonix haben herausgefunden, dass Domains, die für die Malware-Kampagne verwendet wurden, erst am 29. Mai 2022 registriert wurden. Die fraglichen Payloads müssen noch von Antiviren-Scansystemen über VirusTotal als bösartig gekennzeichnet werden.
Es war ein arbeitsreiches Jahr für Hacker, die Malware verbreiten wollten. Zusätzlich zu den üblichen bewährten Methoden zur Verbreitung bösartiger Dateien und dergleichen verzögern sie sogar die Einführung ihrer gefährlichen Codes um bis zu einen Monat, sobald sie ihren Weg in PCs gefunden haben.
Gefälschte DDoS-Seiten werden derweil auf WordPress-Seiten eingebaut, um auch Malware zu verbreiten.
Empfehlungen der Redaktion