هکرها راز بدی را در تصاویر تلسکوپ جیمز وب پنهان می کنند

هکرها از تصاویر فضایی تلسکوپ جیمز وب برای مخفی کردن و انتشار بدافزار استفاده می کنند.

همانطور که توسط Bleeping Computer گزارش شده است، یک کمپین بدافزار جدید با عنوان “GO#WEBBFUSCATOR” کشف شده است که شامل ایمیل های فیشینگ و اسناد مخرب نیز می شود.

یک ایمیل فیشینگ با نام “Geos-Rates.docx” در ابتدا برای قربانیان ارسال می شود که در صورت افتادن در دام، ناآگاهانه یک فایل الگو را دانلود می کنند.

اگر مجموعه آفیس سیستم هدف، عنصر ماکرو را فعال کرده باشد، فایل مذکور متعاقباً به طور خودکار یک ماکرو VBS را اجرا می کند. سپس امکان دانلود از راه دور یک تصویر JPG را فراهم می کند، پس از آن به فرمت اجرایی رمزگشایی می شود و در نهایت در دستگاه بارگذاری می شود.

اگر خود فایل با یک برنامه مشاهده تصویر باز شود، تصویر خوشه کهکشانی SMACS 0723 را همانطور که توسط تلسکوپ جیمز وب به تازگی راه اندازی شده است نشان می دهد. با این حال، باز کردن همان فایل با یک ویرایشگر متن نشان می دهد که چگونه تصویر یک بار را پنهان می کند که به یک فایل اجرایی 64 بیتی مبتنی بر بدافزار تبدیل می شود.

پس از راه اندازی موفقیت آمیز، بدافزار اجازه می دهد تا یک اتصال DNS به سرور فرمان و کنترل (C2) راه اندازی شود. سپس هکرها می توانند دستورات را از طریق ابزار cmd.exe ویندوز اجرا کنند.

برای جلوگیری از شناسایی، عوامل تهدید شامل استفاده از XOR در باینری برای مخفی کردن مجموعه‌های Golang (زبان برنامه‌نویسی) از تحلیلگران بودند. این ماژول ها همچنین از اصلاح پوسته استفاده می کنند تا توسط ابزارهای امنیتی گرفتار نشوند.

در مورد Golang، Bleeping Computer نشان می‌دهد که چگونه برای مجرمان سایبری به دلیل قابلیت‌های بین پلتفرمی (ویندوز، لینوکس و مک) محبوبیت فزاینده‌ای پیدا می‌کند. و همانطور که در بالا نشان داده شد، پیدا کردن آن دشوارتر است.

محققان Securonix دریافتند که دامنه‌های مورد استفاده برای کمپین بدافزار تنها در 29 مه 2022 ثبت شده‌اند. بارهای مورد بحث هنوز توسط سیستم‌های اسکن آنتی‌ویروس از طریق VirusTotal به عنوان مخرب علامت‌گذاری نشده‌اند.

سال شلوغی برای هکرهایی بود که به دنبال ارائه بدافزار بودند. علاوه بر روش‌های آزمایش شده معمول برای انتشار فایل‌های مخرب و موارد مشابه، آنها حتی انتشار کدهای خطرناک خود را پس از ورود به رایانه‌ها تا یک ماه به تاخیر می‌اندازند.

در همین حال، صفحات DDoS جعلی در سایت‌های وردپرس برای انتشار بدافزارها نیز گنجانده شده‌اند.

توصیه های سردبیران