Специалисты Securonix Threat Research зафиксировали новую кампанию с использованием языка Go — она получила название GO#WEBBFUSCATOR. Необычность атаки в том, что вредоносный код маскируется внутри знаменитого снимка глубокого космоса, сделанного телескопом Джеймса Уэбба.
Полезная нагрузка написана на Golang и дополнительно обфусцирована, что затрудняет её анализ защитными системами. Исследователи отмечают: переход на Go в последнее время демонстрируют и другие APT-группировки, в частности Mustang Panda.
Почему злоумышленники выбирают Go
По мнению аналитиков Securonix, у роста популярности Go среди атакующих есть несколько причин. Бинарные файлы, скомпилированные на этом языке, значительно сложнее анализировать и реверсировать, чем классические сборки на C++ или C#. Кроме того, Go отличается гибкостью в кросс-платформенной компиляции: авторы малвари могут использовать единую кодовую базу для сборки под Windows и *NIX-системы одновременно.
Как устроена атака
Заражение начинается с фишингового письма с вложением в формате Microsoft Office — документом Geos-Rates.docx. В метаданных файла скрыта внешняя ссылка на вредоносный шаблон: с её помощью на устройство загружается файл form.dotm. Чтобы выглядеть легитимно, ссылка маскируется под официальный домен Microsoft через поле «Target=» — на деле она ведёт на подконтрольный злоумышленникам ресурс xmlschemeformat.com (путь /update/2021/Office/form.dotm).
Как только пользователь открывает документ, вредоносный шаблон скачивается и сохраняется на диске. Если жертва разрешает выполнение макросов, запускается встроенный VB-скрипт, который инициирует первую фазу выполнения кода.
Деобфусцированные команды скрипта скачивают файл с именем 0xB36F8GEEC634.jpg. Внешне это обычное изображение — при открытии оно действительно отображается как валидная картинка. Но если посмотреть на его содержимое в текстовом редакторе, внутри обнаруживается вредоносный код, замаскированный под сертификат и закодированный в Base64.
Данные из «изображения» декодируются с помощью штатной утилиты certutil.exe в исполняемый файл msdllupdate.exe, который затем распаковывается и запускается на заражённой системе.
Рекомендации
Securonix советует организациям придерживаться базовых, но эффективных мер защиты:
- не открывать вложения из писем от незнакомых или подозрительных отправителей;
- следовать рекомендациям Microsoft по ограничению возможности приложений Office порождать дочерние процессы;
- отслеживать подозрительную и повторяющуюся DNS-активность, включая множественные nslookup-запросы;
- регулярно сканировать все конечные точки на признаки компрометации.
Кампания GO#WEBBFUSCATOR — ещё одно напоминание, что даже безобидный на вид JPG-файл может скрывать вредоносный код, а популярные инфоповоды вроде снимков космического телескопа злоумышленники охотно используют как приманку в фишинговых рассылках.
Источник: Cybersecurity News.