Foto di Gerd Altmann da Pixabay Foto di Gerd Altmann da Pixabay
Un team analisti per la sicurezza informatica ha individuato una campagna di malware ai danni del telescopio spaziale James Webb. La campagna, denominata “GO#WEBBFUSCATOR”, si basa su e-mail di phishing, documenti dannosi e la diffusione di malware tramite le immagini dello spazio del telescopio.
Questo attacco hacker ai danni del prezioso telescopio spaziale, è stato recentemente individuato dagli analisti di Securonix. Il team ha affermato che il malware rilascia payload che attualmente non sono contrassegnati come dannosi dai motori antivirus.
Il linguaggio di scrittura di questo malware è il Golang, un linguaggio di programmazione che sta guadagnando popolarità tra i criminali informatici perché è multipiattaforma, cioè in grado di attaccare sistemi Windows, Linux e Mac, e offre una maggiore resistenza al reverse engineering e all’analisi.
L’infezione inizia con un’e-mail di phishing in cui in allegato vi è un documento dannoso, denominato “Geos-Rates.docx”. Questo documento scarica un file modello che contiene una macro VBS offuscata con esecuzione automatica se le macro sono abilitate nella suite Office. Il codice scarica quindi un’immagine JPG da una risorsa remota, la decodifica in un eseguibile (un file .exe) e lo avvia.
Le stringhe del payload sono ulteriormente nascoste utilizzando ROT25, mentre il binario utilizza XOR per nascondere gli assembly Golang. Inoltre, gli assembly utilizzano l’alterazione del caso per evitare il rilevamento basato sulla firma da parte degli strumenti di sicurezza.
Al momento dell’esecuzione, il malware stabilisce una connessione DNS al server di comando e controllo (C2) e invia query crittografate. Come affermano gli analisti di Securonix, “i messaggi crittografati vengono letti e non crittografati sul server C2, rivelandone così il contenuto originale”. Il C2 può rispondere al malware impostando intervalli di tempo tra le richieste di connessione, modificando il timeout di nslookup o inviando comandi da eseguire tramite lo strumento cmd.exe di Windows.
I ricercatori informatici hanno inoltre notato che i domini utilizzati per la campagna sono tutti registrati di recente, il più vecchio risale infatti al 29 maggio 2022. Securonix ha fornito inoltre una serie di indicatori di compromissione (IoC), compresi indicatori di rete e basati su host.
Foto di Gerd Altmann da Pixabay
Questa settimana è ricca di novità su Amazon. Il noto e-commerce ha appena lanciato una serie di offerte a tempo…
Un team di ricercatori giapponesi ha compiuto un passo storico nel campo della medicina trasfusionale: la creazione del primo sangue…
La rete può essere uno spazio di connessione, ma anche un terreno fertile per nuove forme di violenza. Tra queste,…
Beyerdynamic ha portato il suo rinomato approccio ingegneristico da studio nel mondo wireless con le Aventho 300, delle cuffie over-ear…
Si chiama Cochliomyia hominivorax ed è un parassita che evoca scenari da film horror: si nutre della carne viva di…
Una recente scoperta scientifica ha acceso i riflettori su una variante genetica che potrebbe cambiare radicalmente la nostra comprensione della…
