Gli hacker nascondono malware nelle immagini del telescopio James Webb: gli analisti delle minacce hanno scoperto una nuova campagna di malware denominata "GO#WEBBFUSCATOR" che prende di mira e-mail di phishing, documenti dannosi e immagini spaziali dai supporti del telescopio James Webb per diffondere malware.
L'infezione inizia con un'e-mail di phishing con un documento dannoso allegato, "Geos-Rates.docx", che scarica un file modello. Questo file contiene una macro VBS offuscata che viene eseguita automaticamente se le macro sono abilitate nella suite Office. Il codice quindi scarica un'immagine JPG ('OxB36F8GEEC634.jpg') da una risorsa remota ('xmlschemeformat[.]com'), la decodifica in un file eseguibile ('msdllupdate.exe') utilizzando certutil.exe e lo avvia.
Immagini allettanti caricano malware
In un visualizzatore di immagini, il file .JPG mostra l'ammasso di galassie SMACS 0723 rilasciato dalla NASA nel luglio 2022. Tuttavia, quando l'immagine viene aperta con un editor di testo, rivela contenuti aggiuntivi camuffati da un certificato incluso, che è un payload codificato Base64 che si trasforma nell'eseguibile dannoso a 64 bit.
"In sostanza, non sorprende che gli attori delle minacce abbiano trovato un modo per installare malware utilizzando le immagini del telescopio James Webb. Mostra ancora una volta che i criminali informatici abusano di qualsiasi contenuto interessante o virale per i loro scopi. Puntando sempre a distribuire il proprio malware a persone impreparate e sbadate. come il dott Sebastian Schmerl è Director Security Services EMEA presso Arctic Wolf.
Il phishing sfrutta il fascino
🔎 Molti vogliono vederlo: le immagini del James Web Telescope sono infette da malware (Immagine: NASA, ESA, CSA e STScI).
Come per tutti gli incidenti informatici, ci si può ancora aspettare che gli attori delle minacce sfruttino le ultime notizie o i tentativi di phishing camuffati da storie interessanti per distribuire il loro malware. Le impressionanti immagini del telescopio James Webb sono il veicolo perfetto per attirare gli sprovveduti nella trappola.
Incidenti come questo dimostrano ancora una volta perché è più importante che mai per le aziende rivedere e rafforzare le proprie misure di sicurezza. Con la giusta tecnologia e professionisti della sicurezza ben addestrati che monitorano le attività dannose XNUMX ore su XNUMX, XNUMX giorni su XNUMX, è possibile mitigare i rischi e identificare le parti deboli e vulnerabili dell'infrastruttura digitale".
Altro su ArcticWolf.com
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.