A vírusterjesztők is felnéznek a James Webb űrteleszkópra
Vírusterjesztők egy James Webb űrteleszkóp által készített fénykép mögé rejtették el a kártékony programjukat.A kiberbűnözők minden lehetőséget megragadnak arra, hogy a nemkívánatos kódjaikat véka alá rejtsék, és ezáltal ne kerüljenek sem a védelmi technológiák, sem a biztonsági szakemberek látókörébe. A GO#WEBBFUSCATOR néven emlegetett alvilági kampány mögött meghúzódó kibercsoport úgy gondolta, hogy mindezt csillagászati magasságokba emeli.
A támadások anatómiája
A szóban forgó támadások során a felhasználó első körben egy Word dokumentumot kap adathalász célú elektronikus levelekben. Amennyiben ezt megnyitja, és engedélyezi a makrók futtatását, akkor a számítógépére interneten keresztül egy JPG-kiterjesztésű fájl kerül fel. Ennek a neve jelenleg OxB36F8GEEC634.jpg, de természetesen ez bármikor megváltozhat.
Az ártalmatlan képfájlnak kinéző állomány megjelenítésekor nem történik semmi gyanakvásra okot adó történés, ugyanis azon a James Webb által idén nyáron készített egyik felvétel jelenik meg egészen pontosan a SMACS 0723 galaxis klaszterről. Csakhogy ez a fájl korántsem csak egy fényképet rejt. Egy szövegszerkesztővel való megnyitását követően láthatóvá válik, hogy abban egy Base64 kódolással ellátott karaktersorozat is lapul egy tanúsítványnak kinéző módon. Ennek dekódolását követően (amit a makró segítségével végeznek el a csalók a háttérben) egy 64 bites, futtatható állomány tűnik fel. Ez bemásolja a károkozásokhoz szükséges kódokat a '%%localappdata%%\microsoft\vault\' mappába, valamint manipulálja a regisztrációs adatbázist. Ezt követően pedig DNS-alapú lekérdezésekkel elkezd kommunikálni a vezérlőszerverével, ahonnan utasításokat fogad.
A megjelenő kép
Forrás:Securonix
A kép mögött lévő kód
Forrás: Securonix
A Securonix biztonsági kutatói által vizsgált szerzemény nem kizárólag vizuálisan képes jól rejtőzködni a fénykép segítségével, hanem forráskód szinten is. A Golang nyelven íródott programot a felfedezésekor egyetlen VirusTotalon működő víruskereső motor sem minősítette kártékonynak.
A Securonix már közzétette az ártalmas program detektálásához szükséges információkat, így a szerzemény elleni védekezés jegyében érdemes naprakészen tartani a víruskeresőket. Ami pedig legalább ilyen fontos, hogy az Office állományok esetében a makrókat csak végső esetben, megfelelő körültekintés mellett szabad engedélyezni, különösen ismeretlen dokumentumok esetén.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.