Un gran peccato. E’ il primo pensiero, fra rabbia e amarezza, nell’apprendere che le meraviglie che ci sta regalando il telescopio della NASA, sono state rovinate dagli hacker. Anche James Webb è finito in una campagna malware che sta funestando la rete. 
Tutto è racchiuso in un’hashtag: GO#WEBBFUSCATOR. L’ennesimo attacco dei cyber-criminali ha utilizzato proprio un’immagine presa dal James Webb Space Telescope (JWST) della NASA come esca.
Lo hanno scoperto i ricercatori di Securonix Threat, è una una persistente campagna di malware basata su Golang, che ha sfruttato l’immagine del campo profondo presa dal telescopio James Webb. Le e-mail di phishing contengono un allegato di Microsoft Office che include un riferimento esterno nei suoi metadati che scarica un file modello dannoso.
Una volta eseguito, il malware crea connessioni DNS univoche
All’apertura del documento, un file modello dannoso viene scaricato e salvato nel sistema. Il file modello contiene uno script VB che avvierà il processo di infezione. Una volta eseguita la macro, viene scaricato un file immagine “OxB36F8GEEC634.jpg” che appare come immagine del Primo Deep Field catturato da JWST. Gli esperti hanno scoperto che l’immagine include un payload con codifica Base64 ispezionando il file con un editor di testo.
“Il file immagine è piuttosto interessante – si legge nell’analisi pubblicata dai ricercatori – viene eseguito come un’immagine .jpg standard come mostrato nell’immagine qui sotto. Tuttavia, le cose si fanno ancora più interessanti se esaminate con un editor di testo“.
L’immagine trasformata in esca dagli hacker contiene codice Base64 dannoso mascherato da certificato incluso. Questo particolare file non è rilevato da tutti i fornitori, rivela VirusTotal. Tant’è.
Il payload con codifica Base64, una volta decrittografato, è un eseguibile di Windows a 64 bit (1,7 MB) chiamato “msdllupdate.exe”. Il binario impiega più tecniche di offuscamento per evitare il rilevamento e rendere difficile l’analisi. Le stringhe codificate binarie utilizzano ROT25 e vengono compilate utilizzando il linguaggio di programmazione Go e offuscate utilizzando Gobfuscation.
Una volta eseguito, il malware crea connessioni DNS univoche: gli esperti hanno stabilito che il file binario stava sfruttando una tecnica di esfiltrazione dei dati DNS inviando query DNS univoche a un server DNS C2 di destinazione.
“Questa tecnica funziona inviando una stringa crittografata aggiunta alla query DNS impostata come sottodominio – chiosa il report – abbiamo osservato un comportamento simile con strumenti di esfiltrazione DNS come DNSCAT2”.
I domini C2 impiegati in questa campagna sono stati registrati a fine maggio 2022, i ricercatori hanno condiviso Indicators of Compromise (IoC) insieme alle tecniche MITRE ATT&CK.
