Один з перших знімків, отриманих за допомогою орбітального телескопа Джеймс Вебб (James Webb Space Telescope), виявився інструментом для поширення шкідливого ПЗ, повідомили експерти з кібербезпеки з компанії Securonix. Кампанію поширення вірусу назвали GO#WEBBFUSCATOR.
Першим етапом атаки є лист фішинга з вкладенням формату Microsoft Office. У метаданих документа вказана URL-адреса, при переході за якою завантажується обфусцований файл зі скриптом VBS, що запускається, якщо в Word включена підтримка макросів. При виконанні макросу на комп’ютер завантажується файл з копією фотографії з Джеймса Вебба, яка містить шкідливий код формату Base64, що маскується під сертифікат. За версією Securonix, жодна антивірусна програма не змогла виявити шкідливість у файлі із зображенням.
Віце-президент Securonix Аугусто Баррос (Augusto Barros) навів дві причини, через які кіберзлочинці могли як зброю вибрати фотографію з орбітального телескопа. По-перше, знімки високої роздільної здатності відрізняються великими розмірами файлів і пропускаються антивірусами під час перевірки. По-друге, навіть якщо антивірус сигналізує про можливу загрозу, користувач може не звернути увагу на попередження, оскільки фотографія широко поширилася в інтернеті.
Експерти звернули увагу, що шкідливий код, що застосовується в атаці, написаний створеною Google мовою програмування Golang — його популярність у середовищі кіберзлочинців зростає через його підтримку різними платформами і те, що цей код важче аналізувати. А найкращий захист від атаки — не відкривати поштові вкладення з невідомих джерел.
Джерело: engadget.com
