安全公司 Securonix 的人員詳細介紹了一項名為 GO#WEBBFUSCATOR 的惡意軟件傳播活動,該活動正在利用詹姆斯韋伯望遠鏡熱度來傳播惡意軟件。
使用 Golang 編程語言的最大優勢在於它本身是跨平台兼容的,這意味着相同的代碼庫可以部署在不同的目標平台上,例如 Linux、macOS 和 Windows(通過 Cyware)。在 Golang 被濫用於惡意目標的最新示例中,不良行為者正在提供幾乎無法檢測到的惡意軟件有效負載,並涉及著名的宇宙 Webb 圖像以隱藏惡意腳本。
為了啟動複雜的鏈,黑客首先在收件箱中植入了一封包含惡意 Office 附件的虛假電子郵件。文檔的元數據實際上隱藏(或混淆了活動名稱的來源)可觸發文件下載的元數據。安全研究人員在他們的博客文章中解釋說,下載 URL 的目的地進一步試圖偽裝成合法的 Microsoft 網絡鏈接。
打開文檔后,自動下載腳本會保存惡意代碼。然後代碼會自動執行自身以執行其預期的工作。隨後,注入系統的代碼會下載一個 jpg 圖像文件,該文件看起來像韋伯望遠鏡捕捉到的快照。然而,使用文本編輯器對圖像的分析表明,它實際上隱藏了一個 Base64 代碼,該代碼本身試圖通過將自己偽裝成合法證書來避免懷疑。這實際上是有效載荷,它轉換為一個 64 位腳本,準備好執行並造成傷害。