Il James Webb Space Telescope è finito nel mirino degli hacker

Date:

Share post:

Un team analisti per la sicurezza informatica ha individuato una campagna di malware ai danni del telescopio spaziale James Webb. La campagna, denominata “GO#WEBBFUSCATOR”, si basa su e-mail di phishing, documenti dannosi e la diffusione di malware tramite le immagini dello spazio del telescopio.

Questo attacco hacker ai danni del prezioso telescopio spaziale, è stato recentemente individuato dagli analisti di Securonix. Il team ha affermato che il malware rilascia payload che attualmente non sono contrassegnati come dannosi dai motori antivirus.

Il linguaggio di scrittura di questo malware è il Golang, un linguaggio di programmazione che sta guadagnando popolarità tra i criminali informatici perché è multipiattaforma, cioè in grado di attaccare sistemi Windows, Linux e Mac, e offre una maggiore resistenza al reverse engineering e all’analisi.

 

Ecco come agisce il malware ai danni del James Webb

L’infezione inizia con un’e-mail di phishing in cui in allegato vi è un documento dannoso, denominato “Geos-Rates.docx”. Questo documento scarica un file modello che contiene una macro VBS offuscata con esecuzione automatica se le macro sono abilitate nella suite Office. Il codice scarica quindi un’immagine JPG da una risorsa remota, la decodifica in un eseguibile (un file .exe) e lo avvia.

Le stringhe del payload sono ulteriormente nascoste utilizzando ROT25, mentre il binario utilizza XOR per nascondere gli assembly Golang. Inoltre, gli assembly utilizzano l’alterazione del caso per evitare il rilevamento basato sulla firma da parte degli strumenti di sicurezza.

Al momento dell’esecuzione, il malware stabilisce una connessione DNS al server di comando e controllo (C2) e invia query crittografate. Come affermano gli analisti di Securonix, “i messaggi crittografati vengono letti e non crittografati sul server C2, rivelandone così il contenuto originale”. Il C2 può rispondere al malware impostando intervalli di tempo tra le richieste di connessione, modificando il timeout di nslookup o inviando comandi da eseguire tramite lo strumento cmd.exe di Windows.

I ricercatori informatici hanno inoltre notato che i domini utilizzati per la campagna sono tutti registrati di recente, il più vecchio risale infatti al 29 maggio 2022. Securonix ha fornito inoltre una serie di indicatori di compromissione (IoC), compresi indicatori di rete e basati su host.

Foto di Gerd Altmann da Pixabay

Valeria Magliani
Valeria Magliani
Instancabile giramondo, appassionata di viaggi, di scoperte e di scienza, ho iniziato l'attività di web-writer perché desideravo essere parte di quel meccanismo che diffonde curiosità e conoscenza. Dobbiamo conoscere, sapere, scoprire e viaggiare, il più possibile. Avremo così una vita migliore, in un mondo migliore.

Related articles

Vitamina D e sole estivo: perché esporsi più a lungo non significa produrne di più

Con l'arrivo dell'estate molti pensano che trascorrere ore sotto il sole sia il modo migliore per "fare scorta"...

Amazon: offerte di inizio settimana da prendere al volo

Amazon ha appena lanciato una marea di nuove offerte tecnologiche e non. Se siete alla ricerca di qualche...

Mega-fusione di sei galassie osservata dagli astronomi: un evento rarissimo nell’Universo

Una collisione cosmica che sfida l'immaginazione Nell'Universo le collisioni tra galassie sono eventi tutt'altro che insoliti. Nel corso di...

Samsung Galaxy for the Planet: nuovi target 2030

Samsung Galaxy for the Planet entra in una nuova fase. Dopo aver centrato tutti i traguardi fissati per...