Исследователи компании Securonix сообщили о новой киберпреступной операции под названием GO#WEBBFUSCATOR. Она примечательна тем, что помимо фишинговых сообщений электронной почты и вредоносных документов злоумышленники используют еще и снимки далеких галактик, сделанные орбитальным телескопом James Webb.

Вредоносное ПО написано на языке программирования Golang, который получает все большую популярность у киберпреступников, поскольку является кроссплатформенным (равно подходящим для ОС Windows, Linux и Mac) и серьезно затрудняет процесс обратного инжиниринга и анализа зловредов. Образцы вредоносного ПО, использованные в ходе операции GO#WEBBFUSCATOR, не распознались как вредоносные ни одним из защитных решений на платформе VirusTotal.

Атака начинается с рассылки фишинговых сообщений электронной почты со вложенными вредоносными документами. В случае, если пакет Office получателя разрешает использование макросов, код из макроса запускает загрузку с удаленного ресурса файла JPEG-изображения. В программе просмотра он отображается как снимок скопления галактик SMACS 0723, сделанный телескопом James Webb и опубликованный NASA в июле нынешнего года. Но открыв изображение в текстовом редакторе, можно обнаружить дополнительный контент, замаскированный под сертификат. Он трансформируется в 64-битный исполняемый файл.

После внедрения в систему жертвы вредоносное ПО устанавливает зашифрованное соединение с командными серверами киберпреступников. Дальнейшие возможности использования зловреда могут быть самыми широкими, но, к счастью, специалисты Securonix уже опубликовали набор индикаторов компрометации, который позволяет обнаружить и устранить угрозу.