Un team analisti per la sicurezza informatica ha individuato una campagna di malware ai danni del telescopio spaziale James Webb. La campagna, denominata “GO#WEBBFUSCATOR”, si basa su e-mail di phishing, documenti dannosi e la diffusione di malware tramite le immagini dello spazio del telescopio.
Questo attacco hacker ai danni del prezioso telescopio spaziale, è stato recentemente individuato dagli analisti di Securonix. Il team ha affermato che il malware rilascia payload che attualmente non sono contrassegnati come dannosi dai motori antivirus.
Il linguaggio di scrittura di questo malware è il Golang, un linguaggio di programmazione che sta guadagnando popolarità tra i criminali informatici perché è multipiattaforma, cioè in grado di attaccare sistemi Windows, Linux e Mac, e offre una maggiore resistenza al reverse engineering e all’analisi.
Ecco come agisce il malware ai danni del James Webb
L’infezione inizia con un’e-mail di phishing in cui in allegato vi è un documento dannoso, denominato “Geos-Rates.docx”. Questo documento scarica un file modello che contiene una macro VBS offuscata con esecuzione automatica se le macro sono abilitate nella suite Office. Il codice scarica quindi un’immagine JPG da una risorsa remota, la decodifica in un eseguibile (un file .exe) e lo avvia.
Le stringhe del payload sono ulteriormente nascoste utilizzando ROT25, mentre il binario utilizza XOR per nascondere gli assembly Golang. Inoltre, gli assembly utilizzano l’alterazione del caso per evitare il rilevamento basato sulla firma da parte degli strumenti di sicurezza.
Al momento dell’esecuzione, il malware stabilisce una connessione DNS al server di comando e controllo (C2) e invia query crittografate. Come affermano gli analisti di Securonix, “i messaggi crittografati vengono letti e non crittografati sul server C2, rivelandone così il contenuto originale”. Il C2 può rispondere al malware impostando intervalli di tempo tra le richieste di connessione, modificando il timeout di nslookup o inviando comandi da eseguire tramite lo strumento cmd.exe di Windows.
I ricercatori informatici hanno inoltre notato che i domini utilizzati per la campagna sono tutti registrati di recente, il più vecchio risale infatti al 29 maggio 2022. Securonix ha fornito inoltre una serie di indicatori di compromissione (IoC), compresi indicatori di rete e basati su host.
Foto di Gerd Altmann da Pixabay
