Con un simple clic, el software hostil ingresa en el sistema del usuario que, esperando solo disfrutar de la imagen, termina perjudicando sus datos.
La firma de seguridad Securonix dio a conocer la campaña de malware, que lleva por nombre GO#WEBBFUSCATOR. “La nueva campaña”, explica Securonix en un comunicado, “incorpora una estrategia igualmente interesante al aprovechar la imagen de campo profundo tomada del Telescopio James Webb y las cargas útiles ofuscadas del lenguaje de programación Golang para infectar el sistema de destino con el malware”.
Los binarios de Go son mucho más difícil de analizar y aplicar ingeniería inversa, en comparación con los binarios compilados de C++ o C#. De acuerdo con Securonix, “Go también es muy flexible cuando se trata de soporte y compilación multiplataforma”.
Apunta la firma de seguridad que los autores de malware pueden compilar código utilizando una base común para múltiples plataformas, como los sistemas operativos Windows y NIX. “Además, existen varios marcos de malware destacados, como ColdFire y OffensiveGolang, diseñados para producir ejecutables y malware basados en Go”.
El paso a paso de la infección del malware con la imagen captada por el Telescopio Webb de la NASA
La sutil campaña de malware GO#WEBBFUSCATOR se realiza de la siguiente forma:
Los piratas informáticos envían un correo electrónico falso, con un archivo conjunto de Office malicioso etiquetado Geos-Rates.docx en la bandeja de entrada.
De acuerdo con Securonix, los metadatos del conjunto ocultan los metadatos que pueden desencadenar la descarga de un archivo.
El destino de la URL de descarga intenta también hacerse pasar por un enlace de Microsoft.
Cuando el documento es abierto, el script de descarga automática guarda el código malicioso, que se ejecuta automáticamente para realizar el trabajo previsto.
El código en el sistema descarga un archivo de imagen .jpg similar a la instantánea capturada por el Telescopio James Webb, pero en realidad oculta un código Base64, que trata de evitar sospechas haciéndose pasar por un certificado legítimo.
Este código malicioso Base64 es imposible de detectar por los sistemas antivirus actuales, ya que utiliza múltiples capas de codificación y ofuscación.
Al ejecutar la carga útil, la PC queda a merced de los hackers, enviándole los paquetes de datos encriptados.
Lo recomendado de siempre: no abrir correos de personas o instituciones desconocidas, ni por la mayor curiosidad que le genere al usuario. Para ver fotos del Telescopio Espacial James Webb, lo mejor es utilizar los canales regulares de la NASA.
