Actores de amenazas ocultan malware en imágenes del telescopio James Webb

Los investigadores de seguridad han detectado una nueva campaña de malware llamada ‘GO#WEBBFUSCATOR’ que propaga malware con la ayuda de correos electrónicos de phishing, documentos malintencionados e imágenes espaciales del telescopio James Webb.

Se ha utilizado un lenguaje de programación Golang para escribir este malware. Es un lenguaje multiplataforma (Windows, Linux, Mac) y ofrece mayor resistencia a la ingeniería y análisis anuladores, por lo que se vuelve muy popular entre los ciberdelincuentes.

Los piratas informáticos lanzan cargas útiles que actualmente no están marcadas como desagradables por las suites antivirus en la plataforma de escaneo VirusTotal, en la campaña reciente detectada por los analistas de amenazas de Securonix.

Cadena de infección

El proceso de infección de malware comienza con un correo electrónico de phishing que contiene un documento malicioso adjunto, “Geos-Rates.docx”, que descarga un archivo de plantilla.

Dentro de ese archivo, hay una macro VBS ofuscada que se ejecuta automáticamente una vez que las macros están habilitadas en el paquete de Office. Después de eso, el código tiende a descargar una imagen JPG

Ese archivo contiene una macro VBS ofuscada que se ejecuta automáticamente si las macros están habilitadas en el paquete de Office. Luego, el código descarga una imagen JPG (“OxB36F8GEEC634.jpg”) desde un recurso remoto (“xmlschemeformat[.]com”), la decodifica en un ejecutable (“msdllupdate.exe”) usando certutil.exe y lo inicia.

Funciones de software malicioso

Derivado de lo que se pudo averiguar a través del análisis dinámico de malware, el ejecutable genera diligencia copiándose a sí mismo en ‘%%localappdata%%\microsoft\vault\’ y agregando una nueva clave de registro.

Una vez que se ejecuta, la infección establece una conexión DNS al servidor de comando y control (C2) y envía consultas cifradas.

Securonix explicó en el informe: “Los mensajes cifrados se leen y se descifran en el servidor C2, revelando así su contenido original”.

Para contrarrestar el malware, el C2 puede establecer intervalos de tiempo entre las solicitudes de conexión, cambiar el tiempo de espera de nslookup o enviar comandos para ejecutar a través de la herramienta cmd.exe de Windows.

Durante las pruebas, Securonix observó que los delincuentes cibernéticos estaban ejecutando comandos de listado aleatorios en sus sistemas de prueba, un primer paso de exploración estándar.

Los investigadores notaron que los dominios utilizados para la campaña se registraron recientemente, el más antiguo el 29 de mayo de 2022.

Securonix ha proporcionado un conjunto de indicadores de compromiso (IoC) que contiene indicadores basados ​​tanto en la red como en el host.