Imágenes de James Webb utilizadas para propagar malware

Los ciberdelincuentes están explotando algunas de las asombrosas imágenes nuevas capturadas por el telescopio espacial James Webb de la NASA para propagar indiscriminadamente malware a sus objetivos, según la inteligencia compartida por el equipo de investigación de amenazas del especialista en análisis de seguridad en la nube Securonix.

En un nuevo informe, los analistas de Securonix D Iuzvyk, T Peck y O Kolesnikov dijeron que habían encontrado una muestra única de una campaña persistente basada en Golang, que están rastreando como Go#Webfuscator.

Como exploró anteriormente Computer Weekly, los programas maliciosos basados ​​en Golang o Go son cada vez más populares entre los ciberdelincuentes, en particular porque sus archivos binarios son más difíciles de analizar y aplicar ingeniería inversa en comparación con C++ o C#, y porque el lenguaje es más flexible en términos de soporte multiplataforma, lo que significa que pueden apuntar a más sistemas a la vez sin necesidad de manipularlos. Los grupos de amenazas persistentes avanzadas (APT) como Mustang Panda son fanáticos por estas razones.

Go#Webfuscator en sí mismo se propaga a través de correos electrónicos de phishing que contienen un archivo adjunto de Microsoft Office que contiene, escondido en sus metadatos, una referencia externa que extrae un archivo de plantilla malicioso que contiene un script de Visual Basic para iniciar la primera etapa de ejecución del código, si la víctima es suficientemente desafortunado para habilitar macros.

Después de desofuscar el código de Visual Basic, el equipo de Securonix descubrió que ejecutó un comando para descargar un archivo de imagen .jpg y usó el programa de línea de comandos certutil.exe para decodificarlo en un binario y luego ejecutarlo.

El .jpg en cuestión es la ahora famosa primera imagen de campo profundo de Webb, tomada por el telescopio espacial James Webb, que muestra el cúmulo de galaxias SMACS 0723 con extraordinario detalle, incluidos algunos de los objetos más débiles y distantes jamás observados en el infrarrojo. espectro.

En este caso, sin embargo, contiene un código Base64 malicioso disfrazado como un certificado incluido que, a partir de la divulgación de Securonix, no fue detectado por ningún software antivirus. Cuando se descifra, esto a su vez se guarda en un archivo ejecutable integrado de Windows, el binario de Golang, es decir, el propio malware.

Go#Webfuscator es un troyano de acceso remoto, o RAT, que vuelve a llamar a su infraestructura de comando y control (C2) y sirve para establecer un canal encriptado para controlar el sistema de la víctima, o para entregar cargas útiles secundarias para exfiltrar datos confidenciales, lo que podría incluir contraseñas, detalles de cuentas e información financiera, lo que hace que sus víctimas sean vulnerables al fraude o al robo de identidad más adelante.

“En general, los TTP [tactics, techniques and procedures] observados con Go#Webfuscator durante toda la cadena de ataque son bastante interesantes. El uso de una imagen legítima para construir un binario de Golang con certutil no es muy común en nuestra experiencia o típico y es algo que estamos siguiendo de cerca”, escribió el equipo en su divulgación.

“Los consumidores deben tener cuidado con los correos electrónicos no solicitados que utilicen el telescopio espacial James Webb como tema y deben evitar los archivos adjuntos de Microsoft Office que contengan una imagen .jpg, ya que se utiliza para entregar automáticamente la carga maliciosa”.

Ray Walsh, Pro Privacidad

“Está claro que el autor original del binario diseñó la carga útil con algunos contraforenses triviales y anti-EDR. [endpoint detection and response] metodologías de detección en mente.”

Ray Walsh, un experto en privacidad digital de ProPrivacy, dijo: “Los consumidores deben tener cuidado con los correos electrónicos no solicitados que utilizan el telescopio espacial James Webb como tema y deben evitar cualquier archivo adjunto de Microsoft Office que contenga una imagen .jpg, ya que se está utilizando. para entregar automáticamente la carga útil maliciosa.

“Se recuerda a los consumidores que este tipo de ataques dependen de que Office esté configurado para ejecutar macros automáticamente. Recomendamos que todos los usuarios de Office cambien la configuración de sus macros para notificarles antes de que se ejecute una macro, ya que esto ayudará a evitar que el malware se autoinstale”.

Para los profesionales de la seguridad, Securonix ofrece más detalles de la campaña, incluidos los indicadores de compromiso (IoC), las técnicas Mitre ATT&CK y las reglas de Yara.

Leave a Comment