I cybercrminali escogitano di tutto per mettere a segno le proprie malefatte, anche inserire del codice maligno all’interno di immagini apparentemente derivanti da fonti reputate autorevoli e attendibili. È esattamente questo lo scenario che i ricercatori di Securonix hanno descritto, segnalando la scoperta di una nuova e originale tecnica sfruttata appunto per distribuire malware.
Malware nella foto del cluster di galassie SMACS 0723
Andando più in dettaglio, la nuova campagna individuata prende il nome di GO#WEBBFUSCATOR e prevede una catena di infezione che include una delle foto scattate dal James Webb Space Telescope (JWST) e all’interno della quale è stato nascosto un malware scritto in linguaggio Go. Per la precisione, l’immagine è quella del cluster di galassie SMACS 0723 che è stata scattata dal James Webb Space Telescope e pubblicata il 12 luglio scorso dalla NASA.
L’infezione avviene tramite email di phishing con un allegato DOCX, nei cui metadata è presente il link ad un sito esterno. Aprendo il documento viene scaricato un template che contiene una macro VBA, la quale viene eseguita in automatico se l’utente ha disattivato la visualizzazione protetta.
Viene quindi scaricato il file OxB36F8GEEC634.jpg, ovvero l’immagine incriminata, che dopo la decodifica con il tool certutil.exe diventa il file msdllupdate.exe, vale a dire l’eseguibile del malware.
Il malware copia poi se stesso nella directory %%localappdata%%\microsoft\vault\ e aggiunge una chiave al registro di Windows per la persistenza (esecuzione automatica). Dopo aver raccolto informazioni dal computer esegue il collegamento al server C&C (command and control).
Per evitare di andare incontro a queste e altre minacce informatiche è indispensabile proteggere il proprio computer con una buona soluzione antivirus, come nel caso di Avast Premium Security.