Один из первых снимков, полученных с помощью орбитального телескопа «Джеймс Уэбб» (James Webb Space Telescope), оказался инструментом для распространения вредоносного ПО, сообщили эксперты по кибербезопасности из компании Securonix. Кампанию по распространению вируса назвали GO#WEBBFUSCATOR.
Источник изображения: nasa.gov
Первым этапом атаки является фишинговое письмо с вложением формата Microsoft Office. В метаданных документа указан URL-адрес, при переходе по которому загружается обфусцированный файл со скриптом VBS, запускаемый, если в Word включена поддержка макросов. При исполнении макроса на компьютер загружается файл с копией фотографии с «Джеймса Уэбба», которая содержит вредоносный код формата Base64, маскирующийся под сертификат. По версии Securonix, ни одна антивирусная программа не сумела обнаружить вредонос в файле с изображением.
Вице-президент Securonix Аугусто Баррос (Augusto Barros) привёл две причины, по которым киберпреступники могли в качестве оружия выбрать фотографию с орбитального телескопа. Во-первых, снимки высокого разрешения отличаются большими размерами файлов и пропускаются антивирусами при проверке. Во-вторых, даже если антивирус сигнализирует о возможной угрозе, пользователь может не обратить внимания на предупреждение, поскольку снимок широко распространился в интернете.
Эксперты обратили внимание, что применяемый в атаке вредоносный код написан на созданном Google языке программирования Golang — его популярность в среде киберпреступников растёт из-за его поддержки разными платформами и того, что этот код труднее анализировать. А лучшая защита от атаки — не открывать почтовые вложения из неизвестных источников.
Источник: 3DNews