Genérico 2min de Leitura - 23 de septiembre de 2022

Ciberdelincuentes ocultan malware en imágenes del telescopio James Webb

James Webb

This post is also available in: Português Español

Recientemente, el equipo de investigación de Securonix Threat identificó una nueva campaña de malware basada en el lenguaje de programación Go, también conocido como Golang, que utiliza imágenes del telescopio espacial James Webb para implementar malware en dispositivos.

El malware basado en Golang está en aumento y está ganando popularidad entre los grupos de amenazas persistentes (APT). Hay algunas razones por las que podemos ver estos APT migrar a la plataforma Go.

En primer lugar, los binarios de Go son mucho más difíciles de analizar y aplicar ingeniería inversa, en comparación con los binarios compilados en C++ o C#. Go también es muy flexible cuando se trata de soporte y compilación multiplataforma. Los ciberdelincuentes pueden compilar código utilizando una base de código común para múltiples plataformas, como los sistemas operativos Windows y *NIX.

Además, existen varios marcos de malware destacados, como ColdFire y OffensiveGolang, diseñados para producir ejecutables y malware basado en Go.

James Webb

El telescopio espacial James Webb de la NASA es conocido por sus impresionantes imágenes desde el espacio. Dada su avanzada tecnología, el telescopio puede capturar las primeras galaxias creadas justo después del Big Bang. Los ciberdelincuentes son conscientes de su popularidad entre los aficionados a la astronomía y la imagen espacial en general y han decidido monetizarla con ataques de phishing.

La campaña

En su informe, los investigadores D. Iuzvyk, T. Peck y O. Kolesnikov explican que esta campaña consiste en enviar correos electrónicos de phishing que contienen un archivo adjunto de Microsoft Office llamado Geos-Rates.docx. El archivo se descarga como una plantilla.

Estos correos electrónicos son el punto de entrada a la cadena de ataque. Cuando se abre el archivo adjunto, se ejecuta automáticamente una macro Visual Basic for Applications (VBA) si el destinatario tiene macros habilitadas. Cuando se ejecuta, la macro descarga un archivo de imagen titulado OxB36F8GEEC634.jpg

Esta parece ser la imagen del First Deep Field enviado por el telescopio, pero en realidad es una carga útil codificada en Base64. El binario ejecutable de Windows de 64 bits tiene un tamaño de 1,7 MB. Puede evadir fácilmente el software antimalware y utiliza una técnica llamada gobfuscation para utilizar una herramienta de ofuscación de Golang, que está disponible públicamente en GitHub.

Según los investigadores, los ciberdelincuentes utilizan consultas/respuestas de DNS encriptadas para comunicarse con el servidor de comando y control (C&C), a través del cual el malware puede aceptar y ejecutar comandos enviados por el servidor a través del prompt de comando de Windows.

Los investigadores señalan además que el uso de una imagen legítima para construir un binario de Golang no es muy común. Está claro que el autor original del binario diseñó la carga útil teniendo en cuenta algunas metodologías triviales contraforenses y anti-EDR.

Fuente:Securonix.

This post is also available in: Português Español