Hackers escondem malware nas imagens do telescópio James Webb: analistas de ameaças descobriram uma nova campanha de malware apelidada de “GO#WEBBFUSCATOR” visando e-mails de phishing, documentos maliciosos e imagens espaciais dos suportes do telescópio James Webb para espalhar malware.
A infecção começa com um e-mail de phishing com um documento malicioso anexado, 'Geos-Rates.docx', que baixa um arquivo de modelo. Este arquivo contém uma macro VBS ofuscada que é executada automaticamente se as macros estiverem habilitadas no pacote do Office. O código baixa uma imagem JPG ('OxB36F8GEEC634.jpg') de um recurso remoto ('xmlschemeformat[.]com'), decodifica-a em um arquivo executável ('msdllupdate.exe') usando certutil.exe e a inicia.
Imagens tentadoras carregam malware
Em um visualizador de imagens, o .JPG mostra o aglomerado de galáxias SMACS 0723 lançado pela NASA em julho de 2022. No entanto, quando a imagem é aberta com um editor de texto, ela revela conteúdo adicional disfarçado como um certificado incluído, que é uma carga útil codificada em Base64 que se transforma no executável malicioso de 64 bits.
“Em essência, não é surpreendente que os agentes de ameaças tenham encontrado uma maneira de instalar malware usando imagens do telescópio James Webb. Isso mostra mais uma vez que os cibercriminosos fazem mau uso de qualquer conteúdo interessante ou viral para seus propósitos. Sempre com o objetivo de distribuir seus malwares para pessoas despreparadas e descuidadas. como dr Sebastian Schmerl é Diretor de Serviços de Segurança EMEA na Arctic Wolf.
O phishing explora o fascínio
🔎 Muitos querem ver: as imagens do James Web Telescope estão infectadas com malware (Imagem: NASA, ESA, CSA e STScI).
Como acontece com todos os incidentes cibernéticos, ainda se pode esperar que os agentes de ameaças aproveitem as últimas notícias ou tentativas de phishing disfarçadas de histórias interessantes para entregar seu malware. As imagens impressionantes do telescópio James Webb são o veículo perfeito para atrair os incautos para a armadilha.
Incidentes como esse ilustram mais uma vez por que é mais importante do que nunca que as empresas revisem e reforcem suas medidas de segurança. Com a tecnologia certa e profissionais de segurança bem treinados monitorando atividades maliciosas XNUMX horas por dia, XNUMX dias por semana, os riscos podem ser mitigados e as partes fracas e vulneráveis da infraestrutura digital podem ser identificadas.”
Mais em ArcticWolf.com
Sobre o Lobo do Ártico A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.