Hrozbu nedokázal odhalit žádný z 59 testovaných antivirů včetně produktů ESETu a Avastu. Jak se malware ukrytý ve fotografii šíří a na co si dát pozor?

Jeden z prvních snímků pořízených dalekohledem Jamese Webba, který zveřejnila NASA, byl dosud nejostřejším infračerveným snímkem vzdáleného vesmíru. Jedná se o fascinující snímek zobrazující kupu galaxií známou jako SMACS 0723. Teleskop je díky velké vzdálenosti zachytil tak, jak vypadaly před 4,6 miliardami let. V současné době snímek bohužel také využívají hackeři a útočníci k infikování systémů malwarem. Bezpečnostní analytická platforma Securonix identifikovala novou malwarovou kampaň, která snímek využívá. Nazvala ji GO#WEBBFUSCATOR.

V červenci zveřejněný snímek ukazuje pohled do hlubokého vesmíru. Foto: Se souhlasem NASA

Útok začíná podvodným e-mailem obsahujícím přílohu ve formátu Microsoft Office. V metadatech dokumentu je ukryta adresa URL, která stáhne soubor se skriptem, jenž se spustí, pokud jsou povolena určitá makra aplikace Word. Ten následně stáhne na první pohled nenápadnou fotografii. Konkrétně jde o první provozní pořízený snímek pořízený vesmírným dalekohledem Jamese Webba (na obrázku výše), která obsahuje škodlivý kód maskovaný za certifikát. Společnost ve své zprávě o odhaleném malwaru uvedla, že antivirové programy nebyly v době zveřejnění analýzy schopny škodlivý kód ukrytý v obrázku odhalit. Hrozbu neodhalil žádný z 59 testovaných antivirů včetně produktů ESETu a Avastu.

Proč útočníci použili fotografii z Webbova dalekohledu?

Podle odborníků existuje několik možných důvodů, proč se útočníci rozhodli použít populární fotografii z Vesmírného dalekohledu Jamese Webba. Jedním z nich je, že snímky s vysokým rozlišením, které NASA uvolnila, jsou veliké a v tomto ohledu mohou uniknout podezření. Dále je faktem, že nikoho nepřekvapí, že podobný snímek najde v počítači poté, co obletěl všechna světová média. A také, že i když snímek antimalwarový program označí jako škodlivý, lidé mohou varování ignorovat.

Antiviry si s malwarovou hrozbou v době zveřejnění analýzy nedokázaly poradit. To se po jejím zveřejnění doufejme brzy změní. Foto: Se souhlasem VirusTotal

Další zajímavostí je, že je malware postavený na programovacím jazyku Go, otevřeném programovacím jazyku společnosti Google. Odborníci uvádí, že obliba malwaru založeného na Golangu roste, protože má flexibilní podporu napříč platformami a je obtížnější jej detekovat a zpětně analyzovat než malware založený na jiných programovacích jazycích. Stejně jako u jiných malwarových kampaní, které začínají phishingovým e-mailem, je však nejlepším způsobem, jak se nestát obětí útoku, opatrnost.

Zdroj: Securonix
Úvodní fotografie: Freepik