Все
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино и музыка
Фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Спецпроекты
Профориентация
Хакеры спрятали вирус в новом снимке от космического телескопа James Webb
Вредоносный код написан на языке Golang.
Что случилось
Недавно злоумышленники начали распространять фотографии, сделанные космическим телескопом James Webb, которые содержат малварь для компьютеров с операционной системой Windows. Хакеры написали код для вируса на языке Go и спрятали его в .jpeg-изображении телескопа.
Что за вирус
Его обнаружили исследователи из компании Securonix, когда изучали содержимое снимка с телескопа. Они рассказали, что вирус представляет собой запутанный код в формате Base64 и содержит фейковый сертификат .jpeg-файла.
Вирус смог обмануть антивирусы и остаться незамеченным для движка VirusTotal. При этом внутри картинки он спрятал скрипты для запуска под названием GO#WEBBFUSCATOR.
Как он работает
Заражение начинается с фишингового письма на почте, которое содержит вложенный Word-документ с названием Geos-Rates[.]docx. При его открытии запускается VBA-макрос, который подгружает дополнительные данные для вируса.
Сначала он загружает изображение с названием OxB36F8GEEC634[.]jpg — это снимок телескопа James Webb. После этого запускается файл certutil.exe, чтобы декодировать изображение в бинарный файл и исполнить его.
Бинарный файл для 64-битной системы Windows весит около 1,7 МБ и содержит запутанный код для обхода систем безопасности. Строки этого кода были замаскированы ROT25, а бинарный файл зашифрован с помощью инструмента Gobfuscation — открытого Go-инструмента с GitHub.
И что
Хакеры выбрали язык Go не случайно. Он начал становиться популярным среди злоумышленников по всему миру — причём в основном среди тех, кто связан с китайской хакер-группой Mustang Panda. Там используют Go, чтобы создавать бинарные файлы, которые затрудняют распознавание и анализ вирусов в системе. А ещё исполнительные файлы Go сложны для обратной разработки в отличие от других языков.
Кроме этого, Go поддерживает кросс-платформенную разработку, что упрощает сборку и компиляцию вирусов на разных платформах. Хакеры даже создали свои фреймворки, которые упрощают создание вредоносных программ, — ColdFire и OffensiveGolang.
Эксперты по кибербезопасности уже на протяжении года наблюдают за тем, как хакеры всё чаще используют Go. Компания CrowdStrike сделала отчёт, где указала, что количество вирусов, написанных на этом языке, выросло на 80% с августа 2021 года.
