در این روش هکرها تصویر مخربی را برای کاربران ارسال میکنند که هرچند خوشه کهکشانی SMACS 0723 را نشان میدهد، اما حاوی یک بدافزار است.
هکرها این بار به سراغ عکسهای فضایی گرفته شده توسط تلسکوپ جیمز وب رفتهاند و بدافزارها را در آنها مخفی و ذخیره کردهاند. طبق گزارشهای موجود، این کمپین بدافزار جدید «GO#WEBBFUSCATOR» نام دارد و هکرها در آن به فیشینگ ایمیل و ارسال اسناد مخرب میپردازند.
روش هک جدید با کمک عکسهای تلسکوپ جیمز وب
همانطور که Bleeping Computer توضیح میدهد، هکرها در این کمپین ابتدا یک ایمیل فیشینگ با نام «Geos-Rates.docx» برای قربانیان ارسال میکنند که با باز کردن آن، یک فایل بهصورت کاملا ناخودآگاه دانلود میشود.
-

بلبرینگ چرخ عقب موتور سیکلت کویر مدل K6202 مناسب برای هوندا
اطلاعات بیشتر -

شارژر همراه الدینیو مدل PL1013 ظرفیت ۱۰۰۰۰ میلی آمپر ساعت
خرید محصول -

هندزفری بلوتوثی جی بی ال مدل Tune 125BT
خرید محصول -

خط چشم ماژیکی کاپریس مدل Silky Matt 02
خرید محصول -

کارت حافظه ی SDHC سونی کلاس ۴ – ۱۶ گیگابیت
خرید محصول -

اسکوتر کودک مدل WOOD
خرید محصول -

دستبند طلا ۱۸ عیار مردانه لیردا مدل اسم حمیدرضا
۱,۶۱۸,۰۰۰ ﷼ انتخاب گزینهها این محصول دارای انواع مختلفی می باشد. گزینه ها ممکن است در صفحه محصول انتخاب شوند -

لاک ناخن استایکس شماره M204
خرید محصول
در این شرایط، اگر عنصر ماکرو مجموعه آفیس سیستم هدف کاربر فعال باشد، فایل دانلود شده یک ماکرو VBS را بهطور خودکار اجرا میکند. در نهایت، یک تصویر JPG مخرب روی سیستم آنها بارگیری میشود. در صورتی که کاربران این فایل را با یک برنامه نمایشگر تصویر باز کنند، تصویر خوشه کهکشانی SMACS 0723 که توسط تلسکوپ جیمز وب گرفته شده، برای آنها نمایش داده میشود، در صورتی که حاوی یک بدافزار است.
پس از راهاندازی موفق این کمپین، بدافزار به هکر اجازه میدهد تا از طریق اتصال DNS یک سرور فرمان و کنترل (C2) راهاندازی کند. سپس میتوانند دستورات موردنظر خود را از طریق ابزار cmd.exe ویندوز اجرا کنند. همچنین هکرها در این روش از متدهایی استفاده میکنند تا توسط ابزارهای امنیتی شناسایی نشوند.
Bleeping Computer در ادامه گزارش خود به زبان برنامهنویسی Golang مورد استفاده توسط این هکرها اشاره میکند که به دلیل قابلیتهای چند پلتفرمی خود (ویندوز، لینوکس و مک) در بین هکرها محبوبیت زیادی پیدا کرده است. همچنین تشخیص آن توسط ابزارهای امنیتی دشوارتر است.
محققان شرکت امنیتی Securonix متوجه شدهاند که دامنههای مورد استفاده در این کمپین اخیرا (۲۹ می ۲۰۲۲) ثبت شدهاند و ابزار VirusTotal هنوز آنها را به عنوان مخرب علامتگذاری نکرده است.







