Phishing spaziale: le immagini del telescopio James Webb sfruttate per diffondere malware

I ricercatori di sicurezza di Securonix hanno individuato una nuova campagna malware battezzata "GO#WEBBFUSCATOR" che sfrutta email di phishing, documenti contraffatti e immagini spaziali provenienti dal telescopio James Webb per diffondere eseguibili dannosi.

La campagna è particolarmente sofisticata e si basa su un'email di phishing che contiene un documento dal nome "Geos-Rates.docx" che scarica a sua volta un file template. Questo file contiene una macro VBS offuscata che si autoesegue qualora in Office le macro siano abilitate. A questo punto viene scaricata un'immagine JPG da una risorsa remota, che viene decodificata nel file eseguibile "msdllupdate.exe" tramite certuti.exe. Il file eseguibile viene avviato.

In un visualizzatore di immagini il JPG scaricato mostra il cluster di galassie SMACS 0723, pubblicata dalla NASA nel mese di luglio 2022. Se l'immagine viene però aperta con un editor di testo, si osserva la presenza di contenuto aggiuntivo mascherato da certificato incluso, che è un payload che si trasforma nell'eseguibile dannoso a 64-bit. Le stringhe del payload vengono offuscate ulteriormente con altre tecniche così da ostacolare le attività di ricerca, analisi e tracciamento di attività sospette.

Secondo quanto indicano i ricercatori, il malware avrebbe inoltre la capacità di costruirsi una persistenza nel sistema e successivamente comunicare con un server command&control dal quale attende istruzioni e possibili comandi.

Securonix avverte che il payload al momento non viene riconosciuto come dannoso dai motori antivirus, e che i domini utilizzati per la campagna sono stati registrati di recente con il più vecchio tra essi che risale al 29 maggio 2022. I ricercatori hanno condiviso gli indicatori di compromissione per questa minaccia.