تلسکوپ جیمز وب از حملات فیشینگ در امان نماند

در این روش هکرها تصویر مخربی را برای کاربران ارسال می‌کنند که هرچند خوشه کهکشانی SMACS 0723 را نشان می‌دهد، اما حاوی یک بدافزار است.

هکرها این بار به سراغ عکس‌های فضایی گرفته شده توسط تلسکوپ جیمز وب رفته‌اند و بدافزارها را در آن‌ها مخفی و ذخیره کرده‌اند. طبق گزارش‌های موجود، این کمپین بدافزار جدید «GO#WEBBFUSCATOR» نام دارد و هکرها در آن به فیشینگ ایمیل و ارسال اسناد مخرب می‌پردازند.

روش هک جدید با کمک عکس‌های تلسکوپ جیمز وب
همانطور که Bleeping Computer توضیح می‌دهد، هکرها در این کمپین ابتدا یک ایمیل فیشینگ با نام «Geos-Rates.docx» برای قربانیان ارسال می‌کنند که با باز کردن آن، یک فایل به‌صورت کاملا ناخودآگاه دانلود می‌شود.

در این شرایط، اگر عنصر ماکرو مجموعه آفیس سیستم هدف کاربر فعال باشد، فایل دانلود شده یک ماکرو VBS را به‌طور خودکار اجرا می‌کند. در نهایت، یک تصویر JPG مخرب روی سیستم آن‌ها بارگیری می‌شود. در صورتی که کاربران این فایل را با یک برنامه نمایشگر تصویر باز کنند، تصویر خوشه کهکشانی SMACS 0723 که توسط تلسکوپ جیمز وب گرفته شده، برای آن‌ها نمایش داده می‌شود، در صورتی که حاوی یک بدافزار است.

پس از راه‌اندازی موفق این کمپین، بدافزار به هکر اجازه می‌دهد تا از طریق اتصال DNS یک سرور فرمان و کنترل (C2) راه‌اندازی کند. سپس می‌توانند دستورات موردنظر خود را از طریق ابزار cmd.exe ویندوز اجرا کنند. همچنین هکرها در این روش از متدهایی استفاده می‌کنند تا توسط ابزارهای امنیتی شناسایی نشوند.

Bleeping Computer در ادامه گزارش خود به زبان برنامه‌نویسی Golang مورد استفاده توسط این هکرها اشاره می‌کند که به دلیل قابلیت‌های چند پلتفرمی خود (ویندوز، لینوکس و مک) در بین هکرها محبوبیت زیادی پیدا کرده است. همچنین تشخیص آن توسط ابزارهای امنیتی دشوارتر است.

محققان شرکت امنیتی Securonix متوجه شده‌اند که دامنه‌های مورد استفاده در این کمپین اخیرا (۲۹ می ۲۰۲۲) ثبت شده‌اند و ابزار VirusTotal هنوز آن‌ها را به عنوان مخرب علامت‌گذاری نکرده است.