Хакеры спрятали вирус в новом снимке от космического телескопа James Webb

Вредоносный код написан на языке Golang.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Что случилось

Недавно злоумышленники начали распространять фотографии, сделанные космическим телескопом James Webb, которые содержат малварь для компьютеров с операционной системой Windows. Хакеры написали код для вируса на языке Go и спрятали его в .jpeg-изображении телескопа.

Этот снимок точно без вирусов (или нет). Источник: webbtelescope.org

Что за вирус

Его обнаружили исследователи из компании Securonix, когда изучали содержимое снимка с телескопа. Они рассказали, что вирус представляет собой запутанный код в формате Base64 и содержит фейковый сертификат .jpeg-файла.

Вирус смог обмануть антивирусы и остаться незамеченным для движка VirusTotal. При этом внутри картинки он спрятал скрипты для запуска под названием GO#WEBBFUSCATOR.

Как он работает

Заражение начинается с фишингового письма на почте, которое содержит вложенный Word-документ с названием Geos-Rates[.]docx. При его открытии запускается VBA-макрос, который подгружает дополнительные данные для вируса.

Сначала он загружает изображение с названием OxB36F8GEEC634[.]jpg — это снимок телескопа James Webb. После этого запускается файл certutil.exe, чтобы декодировать изображение в бинарный файл и исполнить его.

Бинарный файл для 64-битной системы Windows весит около 1,7 МБ и содержит запутанный код для обхода систем безопасности. Строки этого кода были замаскированы ROT25, а бинарный файл зашифрован с помощью инструмента Gobfuscation — открытого Go-инструмента с GitHub.

И что

Хакеры выбрали язык Go не случайно. Он начал становиться популярным среди злоумышленников по всему миру — причём в основном среди тех, кто связан с китайской хакер-группой Mustang Panda. Там используют Go, чтобы создавать бинарные файлы, которые затрудняют распознавание и анализ вирусов в системе. А ещё исполнительные файлы Go сложны для обратной разработки в отличие от других языков.

Кроме этого, Go поддерживает кросс-платформенную разработку, что упрощает сборку и компиляцию вирусов на разных платформах. Хакеры даже создали свои фреймворки, которые упрощают создание вредоносных программ, — ColdFire и OffensiveGolang.

Эксперты по кибербезопасности уже на протяжении года наблюдают за тем, как хакеры всё чаще используют Go. Компания CrowdStrike сделала отчёт, где указала, что количество вирусов, написанных на этом языке, выросло на 80% с августа 2021 года.

Читайте также: