سوءاستفاده هکرها از تصاویر تلسکوپ جیمز وب برای پنهان کردن بدافزار

۱۴ شهریور ۱۴۰۱

یافته‌های محققان امنیتی نشان می‌دهد که یک کمپین بدافزاری با نام « GO#WEBBFUSCATOR»، از طریق ایمیل‌های فیشینگ، اسناد مخرب و تصاویر دستکاری شده مربوط به تلسکوپ جیمز وب، در حال گسترش است.

به گفته محققان، این بدافزار با زبان برنامه‌نویسی Go نوشته شده است که به‌دلیل چند پلتفرمی بودن (ویندوز، لینوکس و مک) و مقاومت بیشتر در برابر مهندسی معکوس، از محبوبیت زیادی برخوردار است.

یکی از موارد قابل توجه درباره بدافزار GO#WEBBFUSCATOR این است که پی‌لودهایی اولیه کمپین انتشار این بدافزار، در حال حاضر توسط آنتی‌ویروس‌های معرفی شده در VirusTotal شناسایی نمی‌شوند.

همچنین براساس اطلاعات منتشر شده، شیوه آلوده‌سازی این بدافزار این‌گونه است که ابتدا یک ایمیل حاوی فایل مخرب برای قربانی ارسال می‌شود. این فایل مخرب حاوی ماکروهای VBS مبهم‌سازی شده است که به‌طور خودکار اجرا می‌شوند. کد بدافزار سپس یک تصویر JPG از یک منبع از راه دور را دانلود و رمزگشایی کرده و سپس آن را اجرا می‌کند.

این تصویر به‌صورت پیش‌فرض، در صورت باز شدن در نمایش‌دهنده تصاویر سیستم عامل، تصویر منتشر شده توسط ناسا «تلسکوپ جیمز وب» در ماه جولای سال جاری را نمایش می‌دهد؛ در صورتی که پی‌لود کدهای مخرب به کار رفته در آن، یک فایل اجرایی مخرب ایجاد و اجرا می‌کند. این بدافزار، پس اجرا یک اتصال DNS با سرور کنترل و فرمان مهاجمان برقرار می‌کند تا سایر فرامین آن‌ها را دنبال کند.

محققان اظهار کردند که دامنه‌های استفاده شده در این کمپین به‌تازگی ثبت شده‌اند و قدیمی‌ترین آن‌ها مربوط به ماه می سال جاری است.

 

توضیحات بیشتر:

Hackers hide malware in James Webb telescope images