Uwaga! Zdjęcie z JWST jest wykorzystywane do rozpowszechniania malware

Anna BorzęckaSkomentuj
Uwaga! Zdjęcie z JWST jest wykorzystywane do rozpowszechniania malware
Pierwsze zdjęcia wykonane przez Kosmiczny Teleskop Jamesa Webba i opublikowane przez NASA były naprawdę niesamowite. Teraz okazuje się, że jedno z tych zdjęć, „najostrzejszy jak dotąd obraz odległego Wszechświata zarejestrowany w podczerwieni”, przedstawiający tysiące galaktyk, wykorzystywany jest przez cyberprzestępców do infekowania urządzeń elektronicznych złośliwym oprogramowaniem.



Omawiany proceder zidentyfikowała firma Securonix. Kampania rozpowszechniania malware odbywająca się z udziałem poniższej fotografii jest przez nią określana jako GO#WEBBFUSCATOR.

Nietypowa forma phishingu

Atak z udziałem zdjęcia opublikowanego przez NASA – tak zwanego Głębokiego Pola Webba – przebiega w następujący sposób. Najpierw cyberprzestępcy rozsyłają potencjalnym ofiarom phishingowe wiadomości e-mail zawierające załącznik w formie dokumentu z programu Microsoft Office. W metadanych tego dokumentu ukryty jest adres URL, który pobiera specjalny plik ze specjalnym skryptem. Skrypt ten jest aktywowany, jeśli włączone są konkretne makra programu Word.



Aktywacja skryptu powoduje pobranie na urządzenie ofiary kopii zdjęcia z Kosmicznego Teleskopu Jamesa Webba, które zawiera złośliwy kod podszywający się pod certyfikat. Jak informuje Securonix, żadne programy antywirusowe nie są w stanie tego kodu wykryć.

webb-glebokie-pole

Pierwsze Głębokie Pole Webba – zdjęcie wykorzystywane przez cyberprzestępców do rozpowszechniania złośliwego oprogramowania. | Źródło: NASA/ESA/CSA/STScl

Sekrety tajemniczej kampanii

Zdaniem badaczy z firmy Securonix cyberprzestępcy mogli wykorzystać zdjęcie z JWST z kilku powodów. Po pierwsze, zdjęcia publikowane przez NASA zwykle mają wysoką rozdzielczość, a co za tym idzie duże rozmiary plików. Zatem, duży rozmiar kosmicznego zdjęcia nie byłby dla nikogo podejrzany. Ponadto, nawet jakby program chroniący przed złośliwym oprogramowaniem by takie zdjęcie oznaczył, wiele osób machnęłoby na to ręką, ponieważ omawiana fotografia była w ostatnim czasie często udostępniana i przekazywana dalej w sieci.

Ciekawostką jest to, że kampania GO#WEBBFUSCATOR wykorzystuje złośliwe oprogramowanie napisane w języku Golang, języku programowania Google o otwartym kodzie źródłowym. Securonix wskazuje na to, że popularność tego języka rośne wśród twórców malware, ponieważ jego obsługa na wielu platformach jest łatwa, a złośliwe oprogramowanie w nim napisane trudniej rozszyfrować niż złośliwe oprogramowanie bazujące na innych językach programowania.

Na razie nie wiadomo, jaki jest ostateczny cel kampanii GO#WEBBFUSCATOR. Jedno jest jednak pewne – ustrzeżesz swoje urządzenia przed infekcją złośliwym oprogramowaniem stworzonym na jej rzecz, jeśli nie będziesz pobierać załączników z wiadomości e-mail pochodzących od nieznanego źródła.


Źródło: Securonix, fot. tyt. Canva

Obserwuj nas w Google News

Anna BorzęckaSwoją przygodę z dziennikarstwem rozpoczęła w 2015 roku. Na co dzień pisze o nowościach ze świata technologii i nauki, ale jest również autorką felietonów i recenzji. Chętnie testuje możliwości zarówno oprogramowania, jak i sprzętu – od smartfonów, przez laptopy, peryferia komputerowe i urządzenia audio, aż po małe AGD. Jej największymi pasjami są kulinaria oraz gry wideo. Sporą część wolnego czasu spędza w World of Warcraft, a także przyrządzając potrawy z przeróżnych zakątków świata.