Хакеры прячут вредонос в снимке телескопа Джеймса Уэбба

Специалисты Securonix Threat Research зафиксировали новую кампанию с использованием языка Go — она получила название GO#WEBBFUSCATOR. Необычность атаки в том, что вредоносный код маскируется внутри знаменитого снимка глубокого космоса, сделанного телескопом Джеймса Уэбба.

Полезная нагрузка написана на Golang и дополнительно обфусцирована, что затрудняет её анализ защитными системами. Исследователи отмечают: переход на Go в последнее время демонстрируют и другие APT-группировки, в частности Mustang Panda.

Почему злоумышленники выбирают Go

По мнению аналитиков Securonix, у роста популярности Go среди атакующих есть несколько причин. Бинарные файлы, скомпилированные на этом языке, значительно сложнее анализировать и реверсировать, чем классические сборки на C++ или C#. Кроме того, Go отличается гибкостью в кросс-платформенной компиляции: авторы малвари могут использовать единую кодовую базу для сборки под Windows и *NIX-системы одновременно.

Как устроена атака

Заражение начинается с фишингового письма с вложением в формате Microsoft Office — документом Geos-Rates.docx. В метаданных файла скрыта внешняя ссылка на вредоносный шаблон: с её помощью на устройство загружается файл form.dotm. Чтобы выглядеть легитимно, ссылка маскируется под официальный домен Microsoft через поле «Target=» — на деле она ведёт на подконтрольный злоумышленникам ресурс xmlschemeformat.com (путь /update/2021/Office/form.dotm).

Как только пользователь открывает документ, вредоносный шаблон скачивается и сохраняется на диске. Если жертва разрешает выполнение макросов, запускается встроенный VB-скрипт, который инициирует первую фазу выполнения кода.

Деобфусцированные команды скрипта скачивают файл с именем 0xB36F8GEEC634.jpg. Внешне это обычное изображение — при открытии оно действительно отображается как валидная картинка. Но если посмотреть на его содержимое в текстовом редакторе, внутри обнаруживается вредоносный код, замаскированный под сертификат и закодированный в Base64.

Данные из «изображения» декодируются с помощью штатной утилиты certutil.exe в исполняемый файл msdllupdate.exe, который затем распаковывается и запускается на заражённой системе.

Рекомендации

Securonix советует организациям придерживаться базовых, но эффективных мер защиты:

  • не открывать вложения из писем от незнакомых или подозрительных отправителей;
  • следовать рекомендациям Microsoft по ограничению возможности приложений Office порождать дочерние процессы;
  • отслеживать подозрительную и повторяющуюся DNS-активность, включая множественные nslookup-запросы;
  • регулярно сканировать все конечные точки на признаки компрометации.

Кампания GO#WEBBFUSCATOR — ещё одно напоминание, что даже безобидный на вид JPG-файл может скрывать вредоносный код, а популярные инфоповоды вроде снимков космического телескопа злоумышленники охотно используют как приманку в фишинговых рассылках.

Источник: Cybersecurity News.