گول تصاویر جیمز وب را نخورید / هکرها در کمینند!

در این روش، هکرها تصویر مخربی را برای کاربران ارسال می کنند که اگرچه خوشه کهکشانی SMACS 0723 را نشان می دهد، اما حاوی بدافزار است.

بر اساس گزارش های موجود، این کمپین بدافزار جدید «GO#WEBBFUSCATOR» نام دارد و هکرها در حال ارسال ایمیل های فیشینگ و اسناد مخرب هستند.

روش جدید هک با کمک تصاویر تلسکوپ جیمز وب

همانطور که Bleeping Computer توضیح می دهد، هکرهای این کمپین ابتدا یک ایمیل فیشینگ به نام “Geos-Rates.docx” برای قربانیان ارسال می کنند که پس از باز کردن فایل، به طور کامل ناآگاهانه آن را دانلود می کنند.

در این حالت، اگر مولفه ماکرو مجموعه آفیس سیستم کاربر هدف فعال باشد، فایل دانلود شده به طور خودکار یک ماکرو VBS را اجرا می کند. در نهایت، یک تصویر JPG مخرب بر روی سیستم آنها دانلود می شود. اگر کاربران این فایل را با نمایشگر تصویر باز کنند، اگر حاوی بدافزار باشد، تصویری از خوشه کهکشانی SMACS 0723 که توسط تلسکوپ جیمز وب گرفته شده است به آنها نشان داده می شود.

پس از راه اندازی موفقیت آمیز این کمپین، بدافزار به هکر اجازه می دهد تا از طریق یک اتصال DNS، یک سرور Command and Control (C2) را راه اندازی کند. سپس می توانند دستورات مورد نظر خود را از طریق ابزار cmd.exe ویندوز اجرا کنند. همچنین در این روش هکرها از روش هایی برای جلوگیری از شناسایی توسط ابزارهای امنیتی استفاده می کنند.

Bleeping Computer در ادامه گزارش خود از زبان برنامه نویسی Golang مورد استفاده این هکرها که به دلیل قابلیت های چند پلتفرمی (ویندوز، لینوکس و مک) در بین هکرها محبوبیت زیادی پیدا کرده است. از نظر وسایل ایمنی نیز دشوارتر است.

محققان شرکت امنیتی Securonix خاطرنشان کردند که دامنه‌های مورد استفاده در کمپین اخیراً (29 مه 2022) ثبت شده‌اند و ابزار VirusTotal هنوز آنها را به عنوان مخرب علامت‌گذاری نکرده است.

5858