Una nuova campagna di malware denominata “GO#WEBBFUSCATOR” è stata rilevata da ricercatori di sicurezza che propagano malware con l’aiuto di e-mail di phishing, documenti malevoli e immagini spaziali dal telescopio James Webb.
Per scrivere questo malware è stato utilizzato un linguaggio di programmazione Golang. È un linguaggio multipiattaforma (Windows, Linux, Mac) e offre una maggiore resistenza a capovolgere l’ingegneria e l’analisi, rivelandosi così molto popolare tra i criminali informatici.
Gli hacker rilasciano payload che al momento non sono contrassegnati come dannosi dalle suite antivirus sulla piattaforma di scansione VirusTotal, nella recente campagna individuata dagli analisti delle minacce di Securonix.
Catena di infezione
Il processo di infezione da malware inizia con un’e-mail di phishing contenente un documento dispettoso allegato, “Geos-Rates.docx”, che scarica un file modello.
All’interno di quel file, è presente una macro VBS offuscata che viene eseguita automaticamente una volta abilitate le macro nella suite Office. Successivamente, il codice tende a scaricare un’immagine JPG
Tale file contiene una macro VBS offuscata che viene eseguita automaticamente se le macro sono abilitate nella suite Office. Il codice scarica quindi un’immagine JPG (“OxB36F8GEEC634.jpg”) da una risorsa remota (“xmlschemeformat[.]com”), la decodifica in un eseguibile (“msdllupdate.exe”) utilizzando certutil.exe e lo avvia.
Funzioni malware
Derivato da ciò che potrebbe essere scoperto tramite l’analisi dinamica del malware, l’eseguibile crea diligenza copiandosi in ‘%%localappdata%%\microsoft\vault\’ e aggiungendo una nuova chiave di registro.
Una volta eseguita, l’infezione imposta una connessione DNS al server di comando e controllo (C2) e invia query crittografate.
Securonix ha spiegato nel rapporto “I messaggi crittografati vengono letti e non crittografati sul server C2, rivelando così il suo contenuto originale”.
Per contrastare il malware, il C2 può impostare intervalli di tempo tra le richieste di connessione, modificare il timeout di nslookup o inviare comandi da eseguire tramite lo strumento cmd.exe di Windows.
Durante i test, Securonix ha osservato che i criminali informatici stavano eseguendo comandi di elenchi casuali sui suoi sistemi di test, un primo passaggio standard di esplorazione.
È stato notato dai ricercatori che i domini utilizzati per la campagna sono stati registrati di recente, il più vecchio il 29 maggio 2022.
Una serie di indicatori di compromissione (IoC) è stata fornita da Securonix che contiene indicatori sia di rete che basati su host.