A vírusterjesztők is felnéznek a James Webb űrteleszkópra

Vírusterjesztők egy James Webb űrteleszkóp által készített fénykép mögé rejtették el a kártékony programjukat.
 

A kiberbűnözők minden lehetőséget megragadnak arra, hogy a nemkívánatos kódjaikat véka alá rejtsék, és ezáltal ne kerüljenek sem a védelmi technológiák, sem a biztonsági szakemberek látókörébe. A GO#WEBBFUSCATOR néven emlegetett alvilági kampány mögött meghúzódó kibercsoport úgy gondolta, hogy mindezt csillagászati magasságokba emeli.
 
A támadások anatómiája
 
A szóban forgó támadások során a felhasználó első körben egy Word dokumentumot kap adathalász célú elektronikus levelekben. Amennyiben ezt megnyitja, és engedélyezi a makrók futtatását, akkor a számítógépére interneten keresztül egy JPG-kiterjesztésű fájl kerül fel. Ennek a neve jelenleg OxB36F8GEEC634.jpg, de természetesen ez bármikor megváltozhat.
 
Az ártalmatlan képfájlnak kinéző állomány megjelenítésekor nem történik semmi gyanakvásra okot adó történés, ugyanis azon a James Webb által idén nyáron készített egyik felvétel jelenik meg egészen pontosan a SMACS 0723 galaxis klaszterről. Csakhogy ez a fájl korántsem csak egy fényképet rejt. Egy szövegszerkesztővel való megnyitását követően láthatóvá válik, hogy abban egy Base64 kódolással ellátott karaktersorozat is lapul egy tanúsítványnak kinéző módon. Ennek dekódolását követően (amit a makró segítségével végeznek el a csalók a háttérben) egy 64 bites, futtatható állomány tűnik fel. Ez bemásolja a károkozásokhoz szükséges kódokat a '%%localappdata%%\microsoft\vault\' mappába, valamint manipulálja a regisztrációs adatbázist. Ezt követően pedig DNS-alapú lekérdezésekkel elkezd kommunikálni a vezérlőszerverével, ahonnan utasításokat fogad.


A megjelenő kép
Forrás:Securonix 


A kép mögött lévő kód
Forrás: Securonix 
 
A Securonix biztonsági kutatói által vizsgált szerzemény nem kizárólag vizuálisan képes jól rejtőzködni a fénykép segítségével, hanem forráskód szinten is. A Golang nyelven íródott programot a felfedezésekor egyetlen VirusTotalon működő víruskereső motor sem minősítette kártékonynak.
 
A Securonix már közzétette az ártalmas program detektálásához szükséges információkat, így a szerzemény elleni védekezés jegyében érdemes naprakészen tartani a víruskeresőket. Ami pedig legalább ilyen fontos, hogy az Office állományok esetében a makrókat csak végső esetben, megfelelő körültekintés mellett szabad engedélyezni, különösen ismeretlen dokumentumok esetén.
 
Vélemények
 
  1. 4

    A Sophos Firewall egy súlyos sebezhetőséget tartalmaz.

  2. 4

    A Nessus Network Monitor számos biztonsági frissítést kapott.

  3. 1

    ​A Hermwiz féreg meglehetősen gyorsan képes terjedni a helyi hálózatokban.

 
Partnerhírek
A kiberbűnözők kedvelt célpontjai a böngészőkben

A webböngészők a digitális világ kapui. Olyan eszközök, melyekkel naponta órákat töltünk, és egyúttal értékes célpontot jelentenek a támadók számára is.

​Egyre több átverés jelenik meg az online piactereken

Egy közelmúltban készült felmérés résztvevőinek hatoda volt már csalás áldozata az Facebook Marketplace-en, a Facebook pedig nehezen tudja kiszűrni a csalókat.

hirdetés
Közösség