Hackere og andre cyberkriminelle utviser ofte en imponerende grad av kreativitet i sitt virke, og nå rapporteres det om en heller original måte å spre skadevare på. Det rapporterer blant andre den britiske avisen Daily Mail.
Ondsinnede aktører bruker nå noe så uventet som det verdenskjente bildet tatt av det nye James Webb-teleskopet som ledd i en skadevarekampanje. Kampanjen ble først oppdaget av sikkerhetsselskapet Securonix og er døpt GO#WEBBFUSCATOR.
Starter med phishing
Den første infeksjonen starter ifølge Securonix ved at offeret får tilsendt en phishing-e-post som inneholder et Microsoft Office-dokument som vedlegg.
Dette dokumentet inneholder en skjult URL i dokumentets metadata, og denne laster i neste omgang ned et ondsinnet skript på offerets system. Dette ondsinnede skriptet kjøres automatisk dersom offeret har Office-makroer aktivert, og laster ned en bildefil i jpg-formatet.
Denne filen er det første bildet som ble offentliggjort fra James Webb-teleskopet, som viser en stor samling fjerne galakser med relativt høyt detaljnivå. Bildet gikk mer eller mindre verden rundt etter offentliggjøringen.
I utgangspunktet åpnes bildet som en vanlig jpg-fil, men Securonix la merke til noe interessant da de undersøkte bildet i et tekstredigeringsprogram. Da oppdaget sikkerhetsselskapet at bildet inneholder ondsinnet kode forkledd som et sertifikat.
Oppdages ikke av antivirus
Det farlige med denne filen er ifølge sikkerhetsselskapet at den per dags dato ikke finnes på radaren til noen antivirusprogrammer, som bekreftet via VirusTotal-tjenesten. Dermed er den altså svært vanskelig å oppdage.
Koden som befinner seg i bildefilen oversettes til programmeringsspråket Golang og lagres i en kjørbar exe-fil på datamaskinen. Den ondsinnede koden kommuniserer med en kontrollserver og kan utføre flere ulike handlinger basert på kommandoer fra serveren, slik som for eksempel å hente ut sensitive data.
Ifølge Securonix er det bemerkelsesverdig at bakmennene benytter Golang, også kjent som Go, som er blant de mer uvanlige programmeringsspråkene. Sikkerhetsselskapet sier at Go-basert skadevare nå øker i omfang, som har sammenheng med at slik skadevare er vanskeligere å analysere og dekonstruere.
Flere tekniske detaljer kan du finne i Securonix' egen gjennomgang av skadevarekampanjen.