Οι αναλυτές απειλών εντόπισαν μια νέα καμπάνια κακόβουλου λογισμικού με την ονομασία «GO#WEBBFUSCATOR» που βασίζεται σε μηνύματα ηλεκτρονικού ψαρέματος, κακόβουλα έγγραφα και εικόνες του διαστήματος από το τηλεσκόπιο James Webb για τη διάδοση κακόβουλου λογισμικού.
Το κακόβουλο λογισμικό είναι γραμμένο σε Golang, μια γλώσσα προγραμματισμού που κερδίζει δημοτικότητα μεταξύ των εγκληματιών του κυβερνοχώρου επειδή είναι cross-platform (Windows, Linux, Mac) και προσφέρει αυξημένη αντίσταση στην αντίστροφη μηχανική και ανάλυση.
Στην πρόσφατη καμπάνια που ανακαλύφθηκε από ερευνητές της Securonix, ο παράγοντας απειλής ρίχνει ωφέλιμα φορτία που επί του παρόντος δεν επισημαίνονται ως κακόβουλα από μηχανές προστασίας από ιούς στην πλατφόρμα σάρωσης VirusTotal.
Αλυσίδα
μόλυνσης Η μόλυνση ξεκινά με ένα email ηλεκτρονικού ψαρέματος με ένα συνημμένο κακόβουλο έγγραφο, το “Geos-Rates.docx”, το οποίο κατεβάζει ένα αρχείο προτύπου.
Αυτό το αρχείο περιέχει μια ασαφή μακροεντολή VBS που εκτελείται αυτόματα εάν οι μακροεντολές είναι ενεργοποιημένες στη σουίτα του Office. Στη συνέχεια, ο κώδικας κατεβάζει μια εικόνα JPG (“OxB36F8GEEC634.jpg”) από έναν απομακρυσμένο πόρο (“xmlschemeformat[.]com”), την αποκωδικοποιεί σε ένα εκτελέσιμο αρχείο (“msdllupdate.exe”) χρησιμοποιώντας το certutil.exe και την εκκινεί.
Σε ένα πρόγραμμα προβολής εικόνων, το .JPG εμφανίζει το σμήνος γαλαξιών SMACS 0723, που δημοσιεύτηκε από τη NASA τον Ιούλιο του 2022.
Ωστόσο, εάν ανοίξει με ένα πρόγραμμα επεξεργασίας κειμένου, η εικόνα αποκαλύπτει πρόσθετο περιεχόμενο μεταμφιεσμένο ως πιστοποιητικό, το οποίο είναι ένα ωφέλιμο φορτίο με κωδικοποίηση Base64 που μετατρέπεται στο κακόβουλο εκτελέσιμο αρχείο 64-bit.
Οι συμβολοσειρές του ωφέλιμου φορτίου θολώνονται περαιτέρω χρησιμοποιώντας το ROT25, ενώ το δυαδικό χρησιμοποιεί XOR για να κρύψει τα συγκροτήματα Golang από τους αναλυτές. Επιπλέον, τα συγκροτήματα χρησιμοποιούν την αλλαγή κεφαλαίων για να αποφύγουν τον εντοπισμό βάσει υπογραφών από εργαλεία ασφαλείας.