Un nouveau malware caché dans une photo du télescope spatial James Webb !
Des chercheurs en sécurité ont fait la découverte d'une nouvelle campagne qui distribue un logiciel malveillant en s'appuyant sur des e-mails de type phishing, des documents malveillants et une image de l'Espace du télescope James Webb. Cette campagne est surnommée "GO#WEBBFUSCATOR".
Pour rappel, James Webb est un télescope spatial mis en orbite par la NASA et qui nous régale depuis plusieurs semaines avec des images incroyables de la galaxie, des planètes, etc... Forcément, ces magnifiques photos sont vues des millions de fois dans le monde entier, ce qui a visiblement donné des idées aux cybercriminels.
Découvert par les chercheurs en sécurité de Securonix, ce nouveau malware est codé en Golang, très apprécié par les pirates informatiques, car il permet de faciliter la portabilité d'une application d'un système à un autre, que ce soit Windows, Linux ou macOS. D'après eux, les moteurs d'analyse antivirus ne détectent pas ce malware à l'heure actuelle.
Comment se déroule l'attaque ? Tout d'abord, cela commence par un e-mail de phishing qui contient une pièce jointe nommée "Geos-Rates.docx". Ce fichier contient une macro VBS obfusquée qui s'exécutera automatiquement si les macros sont activées dans la suite Office (ce qui n'est pas forcément le cas, selon votre version). Le code de la macro permet de télécharger une image JPG nommée "OxB36F8GEEC634.jpg" à partir d'une ressource distante ("xmlschemeformat[.]com"). Ensuite, cette image est décodée avec certutil.exe et elle donne lieu à l'exécutable "msdllupdate.exe" qui est exécuté dans la foulée.
Si l'on ouvre cette image avec la visionneuse de Windows, on voit qu'il s'agit simplement de la célèbre photo de la galaxie SMACS 0723, prise en juillet dernier par le télescope James Webb. Cependant, si l'on ouvre cette image avec un éditeur de texte, les choses sont différentes : l'image intègre un certificat, ainsi que le code de l'exécutable malveillant. Cette souche malveillante cherche à devenir persistante sur la machine en se copiant elle-même dans "%%localappdata%%\microsoft\vault\" et en créant des clés de Registre.
Le malware communique avec les serveurs C2 pilotés par les pirates au travers de requêtes DNS de type TXT encodées en BASE-64. Bien sûr, ces requêtes servent à remonter des informations et les pirates peuvent exécuter des commandes à distance, d'après les chercheurs de Securonix.
Le rapport complet est disponible à cette adresse : Securonix - Rapport
