Los piratas informáticos ocultan malware en las imágenes del telescopio James Webb: los analistas de amenazas han descubierto una nueva campaña de malware denominada "GO#WEBBFUSCATOR" dirigida a correos electrónicos de phishing, documentos maliciosos e imágenes espaciales de los soportes del telescopio James Webb para propagar malware.
La infección comienza con un correo electrónico de phishing con un documento malicioso adjunto, 'Geos-Rates.docx', que descarga un archivo de plantilla. Este archivo contiene una macro VBS ofuscada que se ejecuta automáticamente si las macros están habilitadas en el paquete de Office. Luego, el código descarga una imagen JPG ('OxB36F8GEEC634.jpg') desde un recurso remoto ('xmlschemeformat[.]com'), la decodifica en un archivo ejecutable ('msdllupdate.exe') usando certutil.exe y lo inicia.
Imágenes tentadoras cargan malware
En un visor de imágenes, el .JPG muestra el cúmulo de galaxias SMACS 0723 lanzado por la NASA en julio de 2022. Sin embargo, cuando la imagen se abre con un editor de texto, revela contenido adicional disfrazado como un certificado incluido, que es una carga útil codificada en Base64 que se convierte en el ejecutable malicioso de 64 bits.
"En esencia, no sorprende que los actores de amenazas hayan encontrado una manera de instalar malware utilizando imágenes del telescopio James Webb. Muestra una vez más que los ciberdelincuentes hacen un mal uso de cualquier contenido interesante o viral para sus fines. Siempre con el objetivo de distribuir su malware a personas desprevenidas y descuidadas. como dr Sebastian Schmerl es Director de Servicios de Seguridad EMEA en Arctic Wolf.
El phishing explota la fascinación
Al igual que con todos los incidentes cibernéticos, aún se puede esperar que los actores de amenazas aprovechen las últimas noticias o los intentos de phishing disfrazados de historias interesantes para entregar su malware. Las impresionantes imágenes del telescopio James Webb son el vehículo perfecto para atraer a los incautos a la trampa.
Incidentes como este ilustran una vez más por qué es más importante que nunca que las empresas revisen y refuercen sus medidas de seguridad. Con la tecnología adecuada y profesionales de seguridad bien capacitados que monitorean la actividad maliciosa las XNUMX horas del día, los XNUMX días de la semana, se pueden mitigar los riesgos y se pueden identificar las partes débiles y vulnerables de la infraestructura digital”.
Más en ArcticWolf.com
Acerca del lobo ártico Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.