Вредоносное ПО скрывается в снимках далеких галактик

[Artifact]

В ходе новой вредоносной кампании злоумышленники вшивают вредоносное ПО в фотографии с телескопа Джеймс Уэбб.

Аналитики Securonix обнаружили новую вредоносную кампанию под названием "GO#WEBBFUSCATOR", которая которая использует фишинговые письма, вредоносные документы и снимки с телескопа Джеймс Уэбб для распространения вредоносного ПО. Вредонос написан на языке программирования Golang и не обнаруживается антивирусными системами на VirusTotal.
Заражение начинается с фишингового письма с вложенным вредоносным документом "Geos-Rates.docx", который загружает файл, содержащий обфусцированный VBS-макрос, который автоматически запускается, если макросы включены в пакете Office. Затем код загружает JPG-изображение ("OxB36F8GEEC634.jpg") с удаленного ресурса ("xmlschemeformat[.]com"), декодирует его в исполняемый файл ("msdllupdate.exe") с помощью certutil.exe и запускает его.

Обфусцированный VBS-макрос (слева) и декодированная команда для загрузки JPG-файла (справа)
В программе просмотра изображений JPG-файл показывает скопление галактик SMACS 0723, опубликованное NASA в июле 2022 года. Однако, если открыть изображение в текстовом редакторе, то можно обнаружить дополнительное содержимое, замаскированное под сертификат, который представляет собой закодированную в Base64 полезную нагрузку, которая превращается во вредоносный 64-битный исполняемый файл.

Один и тот же файл в программе просмотра изображений (слева) и в текстовом редакторе (справа)
Строки полезной нагрузки дополнительно обфусцированы с помощью ROT25, а двоичный файл использует XOR-шифрование, чтобы скрыть вредоноса от аналитиков. Кроме того, вредоносное ПО изменяет регистр, чтобы избежать обнаружения службами безопасности на основе сигнатур.
Специалисты проанализировали вредоноса и сделали вывод, что он закрепляется в системе, копируя себя в '%%localappdata%%\microsoft\vault\' и добавляя новый ключ реестра.
Запустившись, вредоносная программа устанавливает DNS-соединение с C&C-сервером злоумышленников и отправляет зашифрованные запросы. На C&C-сервере сообщения считываются и расшифровываются. Кроме того, сервер злоумышленников может устанавливать временные интервалы между запросами на соединение, изменяя таймаут с помощью nslookup, а также способен посылать команды, которые выполняются в командной строке Windows.
Исследователи отмечают, что домены, используемые в ходе кампании, были зарегистрированы недавно. Securonix уже предоставила набор индикаторов компрометации, включающий как сетевые, так и хостовые индикаторы.