Вредоносное ПО скрывается в снимках далеких галактик

Securonix Golang VirusTotal NASA XOR-шифрование ROT25
В ходе новой вредоносной кампании злоумышленники вшивают вредоносное ПО в фотографии с телескопа Джеймс Уэбб.

Вредоносное ПО скрывается в снимках далеких галактик

Аналитики Securonix
обнаружили
новую вредоносную кампанию под названием «GO#WEBBFUSCATOR», которая которая использует фишинговые письма, вредоносные документы и снимки с телескопа Джеймс Уэбб для распространения вредоносного ПО. Вредонос написан на языке программирования Golang и не обнаруживается антивирусными системами на VirusTotal.
Заражение начинается с фишингового письма с вложенным вредоносным документом «Geos-Rates.docx», который загружает файл, содержащий обфусцированный VBS-макрос, который автоматически запускается, если макросы включены в пакете Office. Затем код загружает JPG-изображение («OxB36F8GEEC634.jpg») с удаленного ресурса («xmlschemeformat[.]com»), декодирует его в исполняемый файл («msdllupdate.exe») с помощью certutil.exe и запускает его.

Обфусцированный VBS-макрос (слева) и декодированная команда для загрузки JPG-файла (справа)
В программе просмотра изображений JPG-файл показывает скопление галактик SMACS 0723, опубликованное NASA в июле 2022 года. Однако, если открыть изображение в текстовом редакторе, то можно обнаружить дополнительное содержимое, замаскированное под сертификат, который представляет собой закодированную в Base64 полезную нагрузку, которая превращается во вредоносный 64-битный исполняемый файл.

Один и тот же файл в программе просмотра изображений (слева) и в текстовом редакторе (справа)
Строки полезной нагрузки дополнительно обфусцированы с помощью ROT25, а двоичный файл использует XOR-шифрование, чтобы скрыть вредоноса от аналитиков. Кроме того, вредоносное ПО изменяет регистр, чтобы избежать обнаружения службами безопасности на основе сигнатур.
Специалисты проанализировали вредоноса и сделали вывод, что он закрепляется в системе, копируя себя в ‘%%localappdata%%microsoftvault’ и добавляя новый ключ реестра.
Запустившись, вредоносная программа устанавливает DNS-соединение с C&C-сервером злоумышленников и отправляет зашифрованные запросы. На C&C-сервере сообщения считываются и расшифровываются. Кроме того, сервер злоумышленников может устанавливать временные интервалы между запросами на соединение, изменяя таймаут с помощью nslookup, а также способен посылать команды, которые выполняются в командной строке Windows.
Исследователи отмечают, что домены, используемые в ходе кампании, были зарегистрированы недавно. Securonix уже предоставила набор индикаторов компрометации, включающий как сетевые, так и хостовые индикаторы.

SECURITYLAB.RU

Источник