Phishing spaziale: le immagini del telescopio James Webb sfruttate per diffondere malware

da Hardware Upgrade :

I ricercatori di sicurezza di Securonix hanno individuato una
nuova campagna malware battezzata “GO#WEBBFUSCATOR” che sfrutta email di
phishing, documenti contraffatti e immagini spaziali provenienti dal
telescopio James Webb per diffondere eseguibili dannosi
.


Il malware scritto in Golang, linguaggio di programmazione
particolarmente popolare tra gli attori di minaccia poich permette di
realizzare malware multipiattaforma che possono operare sui sistemi
operativi Windows, Linux e Mac, con inoltre la capacit di offrire una
maggior resistenza alle tecniche di analisi e reverse engineering che i
ricercatori di sicurezza usano per capire il meccanismo di funzionamento dei
malware ed elaborare le opportune contromisure.

La campagna particolarmente sofisticata e si basa su un’email di
phishing che contiene un documento dal nome “Geos-Rates.docx” che scarica
a sua volta un file template. Questo file contiene una macro VBS offuscata
che si autoesegue qualora in Office le macro siano abilitate. A questo
punto viene scaricata un’immagine JPG da una risorsa remota, che
viene decodificata nel file eseguibile “msdllupdate.exe” tramite
certuti.exe. Il file eseguibile viene avviato.




In un visualizzatore di immagini il JPG scaricato mostra
il cluster di galassie SMACS 0723, pubblicata dalla NASA nel mese di
luglio 2022
. Se l’immagine viene per aperta con un editor di testo,
si osserva la presenza di contenuto aggiuntivo mascherato da certificato
incluso, che un payload che si trasforma nell’eseguibile dannoso a
64-bit. Le stringhe del payload vengono offuscate ulteriormente con altre
tecniche cos da ostacolare le attivit di ricerca, analisi e tracciamento
di attivit sospette.

Secondo quanto indicano i ricercatori, il malware avrebbe inoltre la
capacit di costruirsi una persistenza nel sistema e successivamente
comunicare con un server command&control
dal quale attende
istruzioni e possibili comandi.

Securonix avverte
che il payload al momento non viene riconosciuto come dannoso dai motori
antivirus, e che i domini utilizzati per la campagna sono stati registrati
di recente con il pi vecchio tra essi che risale al 29 maggio 2022. I
ricercatori hanno condiviso gli indicatori di compromissione per questa
minaccia.

Source link