Foto di Gerd Altmann da Pixabay Foto di Gerd Altmann da Pixabay
Un team analisti per la sicurezza informatica ha individuato una campagna di malware ai danni del telescopio spaziale James Webb. La campagna, denominata “GO#WEBBFUSCATOR”, si basa su e-mail di phishing, documenti dannosi e la diffusione di malware tramite le immagini dello spazio del telescopio.
Questo attacco hacker ai danni del prezioso telescopio spaziale, è stato recentemente individuato dagli analisti di Securonix. Il team ha affermato che il malware rilascia payload che attualmente non sono contrassegnati come dannosi dai motori antivirus.
Il linguaggio di scrittura di questo malware è il Golang, un linguaggio di programmazione che sta guadagnando popolarità tra i criminali informatici perché è multipiattaforma, cioè in grado di attaccare sistemi Windows, Linux e Mac, e offre una maggiore resistenza al reverse engineering e all’analisi.
L’infezione inizia con un’e-mail di phishing in cui in allegato vi è un documento dannoso, denominato “Geos-Rates.docx”. Questo documento scarica un file modello che contiene una macro VBS offuscata con esecuzione automatica se le macro sono abilitate nella suite Office. Il codice scarica quindi un’immagine JPG da una risorsa remota, la decodifica in un eseguibile (un file .exe) e lo avvia.
Le stringhe del payload sono ulteriormente nascoste utilizzando ROT25, mentre il binario utilizza XOR per nascondere gli assembly Golang. Inoltre, gli assembly utilizzano l’alterazione del caso per evitare il rilevamento basato sulla firma da parte degli strumenti di sicurezza.
Al momento dell’esecuzione, il malware stabilisce una connessione DNS al server di comando e controllo (C2) e invia query crittografate. Come affermano gli analisti di Securonix, “i messaggi crittografati vengono letti e non crittografati sul server C2, rivelandone così il contenuto originale”. Il C2 può rispondere al malware impostando intervalli di tempo tra le richieste di connessione, modificando il timeout di nslookup o inviando comandi da eseguire tramite lo strumento cmd.exe di Windows.
I ricercatori informatici hanno inoltre notato che i domini utilizzati per la campagna sono tutti registrati di recente, il più vecchio risale infatti al 29 maggio 2022. Securonix ha fornito inoltre una serie di indicatori di compromissione (IoC), compresi indicatori di rete e basati su host.
Foto di Gerd Altmann da Pixabay
La dopamina, spesso associata al piacere e alla ricompensa, svolge un ruolo chiave non solo nel cervello, ma anche nella…
Beyerdynamic ha portato il suo rinomato approccio ingegneristico da studio nel mondo wireless con le Aventho 300, delle cuffie over-ear…
Il mondo della scienza ha raggiunto un traguardo rivoluzionario con lo sviluppo del primo occhio bionico capace di ripristinare la…
Le nostre scelte d'acquisto non sono mai completamente razionali. Dietro ogni decisione di acquisto, infatti, si nasconde un complesso intreccio…
Synology è azienda conosciuta in tutto il mondo per la produzione di dispositivi legati al segmento NAS, di cui vi abbiamo ampiamente…
La matematica dei numeri primi, da sempre fonte di fascino e mistero, ha appena compiuto un importante passo in avanti.…