Il James Webb Space Telescope è finito nel mirino degli hacker

Date:

Share post:

Un team analisti per la sicurezza informatica ha individuato una campagna di malware ai danni del telescopio spaziale James Webb. La campagna, denominata “GO#WEBBFUSCATOR”, si basa su e-mail di phishing, documenti dannosi e la diffusione di malware tramite le immagini dello spazio del telescopio.

Questo attacco hacker ai danni del prezioso telescopio spaziale, è stato recentemente individuato dagli analisti di Securonix. Il team ha affermato che il malware rilascia payload che attualmente non sono contrassegnati come dannosi dai motori antivirus.

Il linguaggio di scrittura di questo malware è il Golang, un linguaggio di programmazione che sta guadagnando popolarità tra i criminali informatici perché è multipiattaforma, cioè in grado di attaccare sistemi Windows, Linux e Mac, e offre una maggiore resistenza al reverse engineering e all’analisi.

 

Ecco come agisce il malware ai danni del James Webb

L’infezione inizia con un’e-mail di phishing in cui in allegato vi è un documento dannoso, denominato “Geos-Rates.docx”. Questo documento scarica un file modello che contiene una macro VBS offuscata con esecuzione automatica se le macro sono abilitate nella suite Office. Il codice scarica quindi un’immagine JPG da una risorsa remota, la decodifica in un eseguibile (un file .exe) e lo avvia.

Le stringhe del payload sono ulteriormente nascoste utilizzando ROT25, mentre il binario utilizza XOR per nascondere gli assembly Golang. Inoltre, gli assembly utilizzano l’alterazione del caso per evitare il rilevamento basato sulla firma da parte degli strumenti di sicurezza.

Al momento dell’esecuzione, il malware stabilisce una connessione DNS al server di comando e controllo (C2) e invia query crittografate. Come affermano gli analisti di Securonix, “i messaggi crittografati vengono letti e non crittografati sul server C2, rivelandone così il contenuto originale”. Il C2 può rispondere al malware impostando intervalli di tempo tra le richieste di connessione, modificando il timeout di nslookup o inviando comandi da eseguire tramite lo strumento cmd.exe di Windows.

I ricercatori informatici hanno inoltre notato che i domini utilizzati per la campagna sono tutti registrati di recente, il più vecchio risale infatti al 29 maggio 2022. Securonix ha fornito inoltre una serie di indicatori di compromissione (IoC), compresi indicatori di rete e basati su host.

Foto di Gerd Altmann da Pixabay

Valeria Magliani
Valeria Magliani
Instancabile giramondo, appassionata di viaggi, di scoperte e di scienza, ho iniziato l'attività di web-writer perché desideravo essere parte di quel meccanismo che diffonde curiosità e conoscenza. Dobbiamo conoscere, sapere, scoprire e viaggiare, il più possibile. Avremo così una vita migliore, in un mondo migliore.

Related articles

Il primo iPad pieghevole potrebbe arrivare nel 2028

Si torna a parlare di Apple e del suo interesse verso il mercato dei dispositivi pieghevoli. Nonostante l'azienda...

Uno sguardo alla scommessa da 140 miliardi di $ di AT&T su 5G, satellite e fibra per dominare la connettività

L'investimento da 140 miliardi di $ di AT&T in 5G, fibra ottica e tecnologia satellitare segna un passo...

Pacemaker del futuro: nuovi materiali per un funzionamento silenzioso e confortevole

I pacemaker, dispositivi essenziali per regolare il battito cardiaco, hanno rappresentato una svolta nella medicina cardiovascolare. Tuttavia, alcune...

Recensione Indiana Jones e l’Antico Cerchio: una fantastica avventura

Indiana Jones e l'Antico Cerchio rappresenta una vera e propria avventura all'interno della quale gli sviluppatori di MachineGames (editore Bethesda), dopo...