Хакеры распространяют вирусы через фото космоса

Культовые изображения телескопа "Джеймс Уэбб" превратили в способ хакерских атак.

Аналитики Securonix зафиксировали распространение вирусов через снимки космоса с телескопа "Уэбб". Кампанию по распространению вируса назвали GO#WEBBFUSCATOR.

При этом используется не метод стеганографии, а гораздо более изощрённая схема атаки. Сначала жертва получает фишинговое письмо с .docx-вложением. При открытии запускается VBS-макрос. Он загружает JPG-изображение с удалённого ресурса, декодирует в исполняемый файл с помощью certutil.exe и запускает его.

Загружаемое изображение — это та самая фотография с телескопа "Джеймса Уэбба". Но в ней также есть дополнительное содержимое, замаскированное под сертификат — это закодированная в Base64 полезная нагрузка, которая и превращается в исполняемый вредоносный файл.

По версии Securonix, ни одна антивирусная программа не сумела обнаружить вредонос в файле. Также эксперты отметили возможные причины, почему используются именно фотографии. Во-первых, снимки высокого разрешения отличаются большими размерами файлов и пропускаются антивирусами при проверке. Во-вторых, даже если антивирус сигнализирует о возможной угрозе, пользователь может не обратить внимания на предупреждение, поскольку снимок широко распространился в интернете.

Из-за сложности и нестандартного подхода антивирусы не срабатывают при такой атаке. Также отмечается, что применяемый в атаке вредоносный код написан на созданном Google языке программирования Golang — его популярность в среде киберпреступников растёт из-за его поддержки разными платформами и того, что этот код труднее анализировать.