Una campa\u00f1a de malware persistente basada en Golang denominada GO#WEBBFUSCATOR ha aprovechado la imagen de campo profundo tomada del Telescopio Espacial James Webb (JWST) de la NASA como se\u00f1uelo para desplegar cargas \u00fatiles maliciosas en sistemas infectados.<\/p>\n
El desarrollo, revelado por Securonix<\/b>apunta a la creciente adopci\u00f3n de Go entre los actores de amenazas, dada la compatibilidad multiplataforma del lenguaje de programaci\u00f3n, lo que permite a los operadores aprovechar una base de c\u00f3digo com\u00fan para apuntar a diferentes sistemas operativos.<\/p>\n
Los binarios de Go tambi\u00e9n tienen el beneficio adicional de dificultar el an\u00e1lisis y la ingenier\u00eda inversa en comparaci\u00f3n con el malware escrito en otros lenguajes como C ++ o C #, sin mencionar los intentos prolongados de an\u00e1lisis y detecci\u00f3n.<\/p>\n
Los correos electr\u00f3nicos de phishing que contienen un archivo adjunto de Microsoft Office act\u00faan como punto de entrada para la cadena de ataque que, cuando se abre, recupera una macro de VBA ofuscada que, a su vez, se ejecuta autom\u00e1ticamente si el destinatario habilita las macros.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\nLa ejecuci\u00f3n de la macro da como resultado la descarga de un archivo de imagen “OxB36F8GEEC634.jpg” que aparentemente es una imagen del Primer campo profundo<\/a> capturado por JWST pero, cuando se inspecciona con un editor de texto, en realidad es una carga \u00fatil codificada en Base64.<\/p>\n “El desofuscado [macro] el c\u00f3digo se ejecuta [a command] que descargar\u00e1 un archivo llamado OxB36F8GEEC634.jpg, use certutil.exe<\/a> para decodificarlo en un binario (msdllupdate.exe) y luego, finalmente, ejecutarlo”, los investigadores de Securonix D. Iuzvyk, T. Peck y O. Kolesnikov dijo<\/a>.<\/p>\n El binario, un ejecutable de Windows de 64 bits con un tama\u00f1o de 1,7 MB, no solo est\u00e1 equipado para volar bajo el radar de los motores antimalware, sino que tambi\u00e9n se oscurece mediante una t\u00e9cnica llamada gobfuscation, que hace uso de un Herramienta de ofuscaci\u00f3n de Golang<\/a> disponible p\u00fablicamente en GitHub.<\/p>\n La biblioteca gobfuscate ha sido previamente documentada como la usan los actores detr\u00e1s chachi<\/a>un troyano de acceso remoto empleado por los operadores del ransomware PYSA (tambi\u00e9n conocido como Mespinoza) como parte de su conjunto de herramientas, y el marco de comando y control (C2) de Sliver.<\/p>\n La comunicaci\u00f3n con el servidor C2 se facilita a trav\u00e9s de consultas y respuestas de DNS encriptadas, lo que permite que el malware ejecute comandos enviados por el servidor a trav\u00e9s del s\u00edmbolo del sistema de Windows (cmd.exe). Se dice que los dominios C2 para la campa\u00f1a se registraron a fines de mayo de 2022.<\/p>\n La decisi\u00f3n de Microsoft de bloquear las macros de forma predeterminada en las aplicaciones de Office ha llevado a muchos adversarios a modificar sus campa\u00f1as cambiando a Archivos LNK e ISO no autorizados<\/a> para desplegar malware. Queda por ver si los actores de GO#WEBBFUSCATOR adoptar\u00e1n un m\u00e9todo de ataque similar.<\/p>\n “Usar una imagen leg\u00edtima para construir un binario de Golang con Certutil no es muy com\u00fan”, dijeron los investigadores, y agregaron que “est\u00e1 claro que el autor original del binario dise\u00f1\u00f3 la carga \u00fatil con algunas metodolog\u00edas de detecci\u00f3n anti-EDR y contraforense triviales”. en mente.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n