No ściągnij sobie nową tapetę... Hakerzy też lubią pierwsze zdjęcie z Teleskopu Webba
Specjaliści ds. cyberbezpieczeństwa ostrzegają, że hakerzy postanowili wykorzystać ogromne zainteresowanie zdjęciami wykonanymi przez Kosmiczny Teleskop Jamesa Webba, aby przeprowadzić groźną kampanię malware.
Teleskop Webba dostarczył nam w ostatnich tygodniach wiele interesujących zdjęć, ale nie da się ukryć, że najbardziej wyjątkowe, choćby ze względu na okoliczności ujawnienia, pozostaje pierwsze - to długie oczekiwanie, konferencja z udziałem prezydenta Joe Bidena i fotografia przedstawiająca tysiące galaktyk, wyglądająca jak spod pędzla wybitnego malarza. Zainteresowanie tym zdjęciem wciąż jest tak ogromne, że cyberprzestępcy zwietrzyli tu okazję, by wykorzystać je do własnych celów, a konkretniej kampanii malware (te zwyczajowo służą do wykradania danych osobowych, haseł, pieniędzy czy blokowania dostępu do urządzeń).
Teleskop Webba elementem kampanii malware
Zajmująca się analizami bezpieczeństwa firma Securonix zidentyfikowała nową kampanię złośliwego oprogramowania, która wykorzystuje ten obraz do infekowania systemów i nazwała GO#WEBBFUSCATOR. Atak zaczyna się najczęściej od próby phishingowej, konkretniej wiadomości email z załącznikiem Microsoft Office, w którym ukryty jest URL pobierający plik ze złośliwym skryptem, a mówiąc precyzyjniej kopię zdjęcia Pierwsze Głębokie Pole Webba, które zawiera specjalny kod podszywający się pod certyfikat.
Jak przekonuje szef firmy w wypowiedzi dla Popular Science, jest ono wręcz idealnym wyborem dla cyberprzestępców, bo wysoka rozdzielczość zdjęcia udostępnionego przez NASA usprawiedliwia duży rozmiar pliku, który w innym wypadku mógłby wzbudzić nieufność użytkowników. Co więcej, nawet gdyby jakieś oprogramowanie oznaczyło plik jako podejrzany, to fakt, że zdjęcie Webba jest ostatnio tak powszechnie dostępne w sieci, z miejsca usypia czujność.
To "gdyby" jest tu bardzo kluczowe, bo niestety jak informuje Securonix w swoim raporcie na temat kampanii, na ten moment żadne programy antywirusowe nie są w stanie wykryć szkodliwego kodu w obrazie. Jedynym sposobem obrony, podobnie jak w przypadku większości akcji phishingowych, jest unikanie klikania w linki w wiadomościach i pobierania dołączonych do nich załączników.
Specjaliści wyjaśniają też, że kampania wykorzystuje Golang, język programowania Google o otwartym kodzie źródłowym. Zdaniem Securonix popularność złośliwego oprogramowania opartego na Golangu rośnie dosłownie z dnia na dzień, bo hakerzy cenią sobie elastyczną obsługę wielu platform i fakt, że utrudnia on analizę i inżynierię wsteczną, więc musimy być gotowi na falę podobnych zagrożeń.
