Publicidade

Fotos do telescópio James Webb são usadas para espalhar vírus

Por| Editado por Claudio Yuge | 31 de Agosto de 2022 às 16h20

Link copiado!

ESA/CSA/STScI
ESA/CSA/STScI

Um ataque sofisticado utiliza uma imagem do telescópio James Webb para disseminar um malware ainda em fase de testes pelos criminosos responsáveis. A imagem vem em um documento malicioso do pacote Office e explora dispositivos que ainda não tenham a proteção contra a execução de macros ativada para baixar conteúdo malicioso de servidores sob o comando dos criminosos.

A campanha, chamada de Go#Webbfuscator, usa uma praga desenvolvida na linguagem de programação Golang, que de acordo com os pesquisadores em segurança da Securonix, vem ganhando tração entre os criminosos por funcionar no Windows, Linux e macOS. O objetivo, pelo menos nessa etapa inicial, seria a extração de dados dos computadores infectados, com o uso de conexões criptografadas que dificultariam a detecção por softwares de segurança.

O processo de contaminação também é focado na furtividade e é nele que entra a imagem capturada pelo James Webb. A foto é a da galáxia SMACS 0723, publicada pela NASA em julho deste ano, e é baixada por meio do macro do documento malicioso; se aberta normalmente, é apenas uma imagem, mas ela também contém certificados de segurança fraudados que permitem a execução do malware.

Continua após a publicidade

Para estabelecer persistência, ele cria entradas no registro do sistema operacional e estabelece a conexão com o servidor dos criminosos para comunicação, envio de dados e possível download de novos vírus. Comandos também podem ser recebidos pela praga, justamente o comportamento que os pesquisadores da Securonix observaram, indicando também que a ameaça é capaz de realizar o reconhecimento dos sistemas comprometidos, levando a ataques mais direcionados.

Toda a exploração foi taxada como interessante pelos pesquisadores, por usar métodos incomuns de contaminação e demonstrar claro foco em se manter oculta. Normalmente, pragas desse tipo são voltadas a golpes contra redes corporativas, mas como a campanha ainda parece estar em uma etapa incipiente, não existem relatos de ofensivas contra alvos desse tipo.

Como o vírus ainda passa despercebido por softwares de segurança, a Securonix disponibilizou detalhes técnicos de seu funcionamento e o formato da exploração. Indicadores de comprometimento também estão disponíveis no relatório da companhia.

Continua após a publicidade

Fonte: Securonix