یافتههای محققان امنیتی نشان میدهد که یک کمپین بدافزاری با نام « GO#WEBBFUSCATOR»، از طریق ایمیلهای فیشینگ، اسناد مخرب و تصاویر دستکاری شده مربوط به تلسکوپ جیمز وب، در حال گسترش است.
به گفته محققان، این بدافزار با زبان برنامهنویسی Go نوشته شده است که بهدلیل چند پلتفرمی بودن (ویندوز، لینوکس و مک) و مقاومت بیشتر در برابر مهندسی معکوس، از محبوبیت زیادی برخوردار است.
یکی از موارد قابل توجه درباره بدافزار GO#WEBBFUSCATOR این است که پیلودهایی اولیه کمپین انتشار این بدافزار، در حال حاضر توسط آنتیویروسهای معرفی شده در VirusTotal شناسایی نمیشوند.
همچنین براساس اطلاعات منتشر شده، شیوه آلودهسازی این بدافزار اینگونه است که ابتدا یک ایمیل حاوی فایل مخرب برای قربانی ارسال میشود. این فایل مخرب حاوی ماکروهای VBS مبهمسازی شده است که بهطور خودکار اجرا میشوند. کد بدافزار سپس یک تصویر JPG از یک منبع از راه دور را دانلود و رمزگشایی کرده و سپس آن را اجرا میکند.
این تصویر بهصورت پیشفرض، در صورت باز شدن در نمایشدهنده تصاویر سیستم عامل، تصویر منتشر شده توسط ناسا «تلسکوپ جیمز وب» در ماه جولای سال جاری را نمایش میدهد؛ در صورتی که پیلود کدهای مخرب به کار رفته در آن، یک فایل اجرایی مخرب ایجاد و اجرا میکند. این بدافزار، پس اجرا یک اتصال DNS با سرور کنترل و فرمان مهاجمان برقرار میکند تا سایر فرامین آنها را دنبال کند.
محققان اظهار کردند که دامنههای استفاده شده در این کمپین بهتازگی ثبت شدهاند و قدیمیترین آنها مربوط به ماه می سال جاری است.
توضیحات بیشتر: