Escondieron su malware en esta famosa foto del Telescopio James Webb

En el archivo JPG, los piratas informáticos han escondido un código malicioso que se instala de forma permanente en el sistema. Un verdadero festival de camuflaje.

Los investigadores de seguridad de Securonix han descubierto una campaña de piratería particularmente cósmica. Apodado "Go#Webfuscator", se basó en una serie de técnicas de camuflaje y ofuscación. En particular, utiliza una imagen famosa del telescopio James Webb para instalar malware peligroso en sistemas específicos.

El comienzo del ataque, sin embargo, es bastante clásico. Los piratas informáticos envían un correo electrónico con un documento de Word con una trampa explosiva. Una vez recuperado, este documento descargará un archivo de plantilla que contiene un script malicioso de Visual Basic. Si el usuario autoriza la ejecución de macros, este programa descargará una foto de Smacs 0723, un cúmulo de galaxias fotografiado por el telescopio James Webb usando una cámara de infrarrojo cercano. También fue la primera foto operativa tomada por este satélite.

Pero en este caso, no solo hay estrellas en este archivo. También oculta un ejecutable programado en Golang y codificado en base 64. Este binario se extrae mediante el script de Visual Basic mencionado anteriormente y se guarda con un nombre aparentemente inofensivo (msdlupdate.exe). Pero el encubrimiento no se detiene allí. Durante la compilación, los piratas se encargaron de codificar las cadenas de caracteres que posiblemente podrían hacer sonar la alarma en los sistemas, como rutas de acceso o comandos de shell. Estas cadenas se transformaron utilizando el algoritmo ROT25, que es un cifrado basado en la sustitución de caracteres. Además, algunas partes del código han sido codificadas por el algoritmo XOR. ROT25 y XOR son algoritmos bastante simples que son muy fáciles de decodificar. Pero obviamente es suficiente para frustrar el antivirus.

Los hackers se comunican a través del protocolo DNS

Una vez ejecutado, este binario se copiará a sí mismo en un directorio y creará una clave de registro de Windows para persistir en su ejecución. A continuación, se pondrá en contacto con los servidores de mando y control de los piratas informáticos. Aquí nuevamente, es una fiesta de camuflaje, porque estos intercambios se realizan a través de solicitudes de DNS. De hecho, el malware enviará solicitudes a un servidor DNS creado por piratas informáticos. Estos últimos envían sus comandos integrándolos de forma encriptada en las respuestas a estas solicitudes. “Una vez que se estableció la conexión DNS, observamos que los atacantes ejecutaban comandos de enumeración arbitrarios en nuestros sistemas de prueba”, explica Securonix en una publicación de blog. La enumeración consiste en recopilar información básica sobre el terminal: tipo de sistema operativo, versión del kernel, variables de entorno, aplicaciones instaladas, etc. Este suele ser el primer paso en un hackeo profundo.

Los investigadores de seguridad han publicado pistas técnicas para detectar el malware . Por otro lado, no se arriesgaron a ninguna atribución. Por el momento, por lo tanto, no sabemos quién se esconde detrás de esta foto falsa del espacio.

Fuente:

Securonix

Si quieres conocer otros artículos parecidos a Escondieron su malware en esta famosa foto del Telescopio James Webb puedes visitar la categoría General.