گول تصاویر جیمز وب را نخورید / هکرها در کمینند!

در این روش، هکرها یک تصویر مخرب برای کاربران ارسال می کنند که اگرچه خوشه کهکشانی SMACS 0723 را نشان می دهد، اما حاوی بدافزار است.

بر اساس گزارش‌های موجود، این کمپین بدافزار جدید «GO #WEBBFUSCATOR» نام دارد و هکرها ایمیل‌های فیشینگ می‌سازند و اسناد مخرب ارسال می‌کنند.

یک روش دستیابی به موفقیت جدید با کمک تصاویر تلسکوپ جیمز وب

همانطور که Bleeping Computer توضیح می دهد، هکرها در این کمپین ابتدا یک ایمیل فیشینگ با نام “Geos-Rate.docx” برای قربانیان ارسال می کنند که پس از باز شدن، یک فایل را کاملاً بدون اطلاع آنها دانلود می کند.

در این حالت، اگر آیتم ماکرو برای مجموعه آفیس سیستم کاربر هدف فعال باشد، فایل دانلود شده به طور خودکار یک ماکرو VBS را اجرا می کند. در نهایت یک تصویر JPG مخرب در سیستم آنها دانلود می شود. اگر کاربران این فایل را با استفاده از نمایشگر تصویر باز کنند، اگر حاوی بدافزار باشد، تصویری از خوشه کهکشانی SMACS 0723 که توسط تلسکوپ جیمز وب گرفته شده است، نمایش داده می شود.

پس از راه اندازی موفقیت آمیز این کمپین، بدافزار به هکر اجازه می دهد تا از طریق یک اتصال DNS، یک سرور Command and Control (C2) را اجرا کند. سپس می توانند دستورات مورد نیاز را از طریق ابزار cmd.exe ویندوز اجرا کنند. همچنین در این روش هکرها از روش هایی برای جلوگیری از شناسایی توسط ابزارهای امنیتی استفاده می کنند.

Bleeping Computer در ادامه گزارش خود از زبان برنامه نویسی Golang مورد استفاده این هکرها که به دلیل قابلیت های کراس پلتفرم (ویندوز، لینوکس، مک) در بین هکرها محبوبیت زیادی پیدا کرده است. همچنین تشخیص آن توسط ابزارهای امنیتی دشوار است.

محققان شرکت امنیتی Securonix خاطرنشان می‌کنند که دامنه‌های مورد استفاده در کمپین اخیراً (29 مه 2022) ثبت شده‌اند و VirusTotal هنوز آنها را به عنوان مخرب علامت‌گذاری نکرده است.

5858