Хакери ховають зловмисне програмне забезпечення на зображеннях телескопа Джеймса Вебба: аналітики загроз виявили нову кампанію зловмисного програмного забезпечення під назвою «GO#WEBBFUSCATOR», націлене на фішингові електронні листи, шкідливі документи та космічні зображення з телескопа Джеймса Вебба, які підтримують розповсюдження шкідливого програмного забезпечення.
Зараження починається з фішингового електронного листа з вкладеним шкідливим документом «Geos-Rates.docx», який завантажує файл шаблону. Цей файл містить обфускований макрос VBS, який запускається автоматично, якщо макроси ввімкнено в пакеті Office. Потім код завантажує зображення JPG ('OxB36F8GEEC634.jpg') із віддаленого ресурсу ('xmlschemeformat[.]com'), декодує його у виконуваний файл ('msdllupdate.exe') за допомогою certutil.exe і запускає його.
Спокусливі зображення завантажують шкідливі програми
У засобі перегляду зображень .JPG показує скупчення галактик SMACS 0723, випущене NASA в липні 2022 року. Однак, коли зображення відкривається в текстовому редакторі, воно показує додатковий вміст, замаскований під включений сертифікат, який є корисним навантаженням у кодуванні Base64, який перетворюється на шкідливий 64-розрядний виконуваний файл.
«По суті, не дивно, що зловмисники знайшли спосіб інсталювати зловмисне програмне забезпечення, використовуючи зображення з телескопа Джеймса Вебба. Це ще раз показує, що кіберзлочинці зловживають будь-яким цікавим або вірусним контентом у своїх цілях. Завжди прагнучи поширити своє шкідливе програмне забезпечення серед непідготовлених і необережних людей. як д-р Себастьян Шмерль є директором служби безпеки в регіоні EMEA в Arctic Wolf.
Фішинг використовує захоплення
Як і у випадку з усіма кіберінцидентами, можна очікувати, що зловмисники використовуватимуть екстрені новини або спроби фішингу, замасковані під цікаві історії, для доставки свого шкідливого програмного забезпечення. Вражаючі зображення телескопа Джеймса Вебба є ідеальним засобом, щоб заманити необережних у пастку.
Подібні інциденти ще раз демонструють, чому для компаній як ніколи важливо переглянути та посилити свої заходи безпеки. Завдяки правильній технології та добре підготовленим фахівцям із безпеки, які цілодобово контролюють шкідливу активність, можна зменшити ризики та виявити слабкі та вразливі частини цифрової інфраструктури».
Більше на ArcticWolf.com
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.