Τον Ιούλιο του 2022, η NASA δημοσίευσε τις πρώτες εικόνες που τραβήχτηκαν από το τηλεσκόπιο James Webb. Ανάμεσά τους ήταν και μια που εμφάνιζε ένα σμήνος γαλαξιών που ονομάζεται SMACS 0723.
Τότε, η NASA την ονόμασε τη βαθύτερη υπέρυθρη εικόνα του σύμπαντος, ενώ οι χιλιάδες γαλαξίες που εμφανιζόταν στην εικόνα διαφημίζονταν σαν τα πιο αμυδρά αντικείμενα που έχουν παρατηρηθεί ποτέ στην υπέρυθρη περιοχή του ηλεκτρομαγνητικού φάσματος.
Ωστόσο, η ίδια εικόνα φαίνεται να “οπλίστηκε” από hackers αφού κατάφεραν να προσθέσουν μέσα της ένα κακόβουλο λογισμικό.
Ερευνητές της εταιρείας ασφαλείας Securonix περιγράφουν μια εκστρατεία κακόβουλου λογισμικού που ονομάζεται GO#WEBBFUSCATOR, και χρησιμοποιεί το περίφημο click to seed malware στην εικόνα του Webb telescope. Το μεγαλύτερο πλεονέκτημα προκύπτει από τη χρήση της γλώσσας προγραμματισμού Golang γιατί είναι εγγενώς συμβατή με πολλαπλές πλατφόρμες, πράγμα που σημαίνει ότι ο ίδιος κακόβουλος κώδικας μπορεί να αναπτυχθεί σε διαφορετικές πλατφόρμες-στόχους Linux, macOS και Windows.
Όλα ξεκινούν με ένα email που περιέχει ένα κακόβουλο συνημμένο του Office με τίτλο (στην περίπτωση της Securonix, τουλάχιστον) Geos-Rates.docx. Τα μεταδεδομένα του εγγράφου μπορούν να ενεργοποιήσουν την λήψη ενός αρχείου.
Μόλις ανοίξει το έγγραφο, το scopt της αυτόματης λήψης αποθηκεύει το κακόβουλο λογισμικό, που στη συνέχεια, τρέχει για να εκτελέσει την προβλεπόμενη εργασία του. Στη συνέχεια, ο κώδικας που περνάει στο σύστημα κατεβάζει ένα αρχείο εικόνας jpg που μοιάζει με την εικόνα που τράβηξε το τηλεσκόπιο Webb.
Ωστόσο, η ανάλυση της εικόνας χρησιμοποιώντας με κάποιο πρόγραμμα επεξεργασίας κειμένου αποκαλύπτει ότι στην πραγματικότητα κρύβει ένα κώδικα Base64 που είναι και το ωφέλιμο φορτίο, έτοιμο να εκτελεστεί και να προκαλέσει ζημιά.
Αυτό που πραγματικά ανεβάζει το επίπεδο της απειλής εδώ είναι το γεγονός ότι ο κακόβουλος κώδικας Base64 περνάει από όλα τα συστήματα προστασίας χωρίς να προκαλέσει κάποιο συναγερμό σε επίπεδο συστήματος, αναφέρει η Securonix. Μόλις εκτελεστεί το ωφέλιμο φορτίο, συνδέει το σύστημα προορισμού με έναν απομακρυσμένο διακομιστή, αφήνοντας τον υπολογιστή στο έλεος των hacker. Μόλις δημιουργηθεί μια σύνδεση, τα κρυπτογραφημένα πακέτα δεδομένων αποστέλλονται στον hacker.
Η Securonix αναφέρει:
“Αυτή η πρακτική μπορεί να χρησιμοποιηθεί για την δημιουργία κρυπτογραφημένων καναλιών εντολών και ελέγχου, ή για την εξαγωγή ευαίσθητων δεδομένων. Επιπλέον, το κακόβουλο λογισμικό ξεγελάει το registry Run key των Windows και γίνεται μόνιμο, πράγμα που σημαίνει ότι η επανεκκίνηση δεν θα αποβάλει τον κακόβουλο κώδικα.
Περισσότερες τεχνικές λεπτομέρειες
