Los hackers esconden programas maliciosos en las imágenes del telescopio James Webb
Las imágenes espaciales del telescopio James Webb
están siendo utilizadas por hackers para ocultar y distribuir malware.
Según lo informado por Bleeping Computer, se ha
descubierto una nueva campaña de malware titulada ‘GO#WEBBFUSCATOR’, que
también involucra correos electrónicos de phishing y documentos maliciosos.
Un correo electrónico de phishing llamado
«Geos-Rates.docx» se envía inicialmente a las víctimas, que luego descargarían
sin saberlo un archivo de plantilla si caen en la trampa.
Si el conjunto de aplicaciones de Office del sistema
de destino tiene habilitado el elemento macros, el archivo mencionado
anteriormente ejecuta automáticamente una macro VBS. Esto permitirá que una
imagen JPG se descargue de forma remota, después de lo cual se decodifica en un
formato ejecutable y finalmente se carga en la máquina.
Si el archivo en sí se abre con una aplicación de
visor de imágenes, la imagen muestra el cúmulo de galaxias SMACS 0723,
capturado por el telescopio James Webb recientemente lanzado. Dicho esto, abrir
el mismo archivo con un editor de texto revela cómo la imagen disfraza una
carga útil que se convierte en un ejecutable de 64 bits basado en malware.
Después de que se haya lanzado con éxito, el malware
permite configurar una conexión DNS al servidor de comando y control (C2). Los
hackers pueden ejecutar comandos a través de la herramienta cmd.exe de Windows.
Para ayudar a evitar la detección, los actores de
amenazas incorporaron el uso de XOR para el binario con el fin de ocultar los
ensamblados Golang (un lenguaje de programación) de los analistas. Estos
ensamblajes también utilizan la alteración de la caja para que no sea recogida
por las herramientas de seguridad.
En cuanto a Golang, Bleeping Computer destaca cómo
se está volviendo cada vez más popular para los ciberdelincuentes debido a sus
capacidades multiplataforma (Windows, Linux y Mac). Y como se evidenció
anteriormente, es más difícil de detectar.
Investigadores de Securonix han descubierto que los
dominios utilizados para la campaña de malware se registraron tan recientemente
como el 29 de mayo de 2022. Las cargas útiles en cuestión aún no han sido
marcadas como maliciosas por los sistemas de análisis antivirus a través de
VirusTotal.
Ha sido un año ocupado para los hackers que buscan
entregar malware. Además de los métodos probados y comprobados regulares para
difundir archivos maliciosos y similares, incluso están retrasando el
lanzamiento de sus códigos peligrosos una vez que ha encontrado su camino en
las PC hasta por un mes.
Mientras tanto, las páginas DDoS falsas se están
incorporando en los sitios de WordPress para propagar malware también.
.-
Comentarios
Publicar un comentario