Una campaña de malware persistente basada en Golang denominada GO#WEBBFUSCATOR ha aprovechado la imagen de campo profundo tomada del Telescopio Espacial James Webb (JWST) de la NASA como señuelo para desplegar cargas útiles maliciosas en sistemas infectados.
El desarrollo, revelado por Securonixapunta a la creciente adopción de Go entre los actores de amenazas, dada la compatibilidad multiplataforma del lenguaje de programación, lo que permite a los operadores aprovechar una base de código común para apuntar a diferentes sistemas operativos.
Los binarios de Go también tienen el beneficio adicional de dificultar el análisis y la ingeniería inversa en comparación con el malware escrito en otros lenguajes como C ++ o C #, sin mencionar los intentos prolongados de análisis y detección.
Los correos electrónicos de phishing que contienen un archivo adjunto de Microsoft Office actúan como punto de entrada para la cadena de ataque que, cuando se abre, recupera una macro de VBA ofuscada que, a su vez, se ejecuta automáticamente si el destinatario habilita las macros.
La ejecución de la macro da como resultado la descarga de un archivo de imagen «OxB36F8GEEC634.jpg» que aparentemente es una imagen del Primer campo profundo capturado por JWST pero, cuando se inspecciona con un editor de texto, en realidad es una carga útil codificada en Base64.
«El desofuscado [macro] el código se ejecuta [a command] que descargará un archivo llamado OxB36F8GEEC634.jpg, use certutil.exe para decodificarlo en un binario (msdllupdate.exe) y luego, finalmente, ejecutarlo», los investigadores de Securonix D. Iuzvyk, T. Peck y O. Kolesnikov dijo.
El binario, un ejecutable de Windows de 64 bits con un tamaño de 1,7 MB, no solo está equipado para volar bajo el radar de los motores antimalware, sino que también se oscurece mediante una técnica llamada gobfuscation, que hace uso de un Herramienta de ofuscación de Golang disponible públicamente en GitHub.
La biblioteca gobfuscate ha sido previamente documentada como la usan los actores detrás chachiun troyano de acceso remoto empleado por los operadores del ransomware PYSA (también conocido como Mespinoza) como parte de su conjunto de herramientas, y el marco de comando y control (C2) de Sliver.
La comunicación con el servidor C2 se facilita a través de consultas y respuestas de DNS encriptadas, lo que permite que el malware ejecute comandos enviados por el servidor a través del símbolo del sistema de Windows (cmd.exe). Se dice que los dominios C2 para la campaña se registraron a fines de mayo de 2022.
La decisión de Microsoft de bloquear las macros de forma predeterminada en las aplicaciones de Office ha llevado a muchos adversarios a modificar sus campañas cambiando a Archivos LNK e ISO no autorizados para desplegar malware. Queda por ver si los actores de GO#WEBBFUSCATOR adoptarán un método de ataque similar.
«Usar una imagen legítima para construir un binario de Golang con Certutil no es muy común», dijeron los investigadores, y agregaron que «está claro que el autor original del binario diseñó la carga útil con algunas metodologías de detección anti-EDR y contraforense triviales». en mente.»