Een van de eerste vijf foto’s die door de James Webb ruimtetelescoop wordt gemaakt, wordt door kwaadwillenden gebruikt om malware te verspreiden, zo heeft effectenanalyseplatform Securonix vastgesteld.
De slechte actoren beginnen de malware-aanval met een phishingmail die een Microsoft Office-bijlage bevat, Engadget rapporteert. Dat bestand bevat een URL in zijn metadata die een bestandsscript zal downloaden en uitvoeren als bepaalde Microsoft Word macro’s zijn ingeschakeld. Van daaruit downloadt het een kopie van de foto van de James Webb Space Telescope (hierboven afgebeeld) die is ingesloten met kwaadaardige code.
Zodra het zich op een computer bevindt, zal de malware verschillende tests uitvoeren om eventuele zwakke plekken in een doelcomputer te vinden die kunnen worden uitgebuit, Populaire Wetenschap verklaart. Op het moment van publicatie was alle antivirussoftware in staat om de malware te spotten.
Wat vreemd is aan deze specifieke aanval, die GO#WEBBFUSCATOR heet en de programmeertaal Golang gebruikt, is dat hij weliswaar de foto van de Webb-telescoop gebruikt als middel om in een doelcomputer binnen te dringen, maar dat het niet eens de bedoeling is dat de eindgebruiker die foto ooit te zien krijgt.
“Als het wordt gemarkeerd voor beoordeling door een anti-malware oplossing, kan de beoordelaar het over het hoofd zien omdat het een afbeelding is die de laatste tijd via meerdere kanalen is gedeeld,” vertelt Augusto Barros, Vice President bij Securonix Popular Science.
“Omdat de hoge-resolutiebeelden van de James Webb Space Telescope ook massief zijn, helpt het ook om eventuele verdachtmakingen met betrekking tot de grootte van het bestand te verminderen.”
Golang is een open-source programmeertaal ontwikkeld door Google. Het is relatief nieuw en terwijl het voor het eerst werd onthuld in 2009, had het pas zijn eerste stabiele release vorige maand.
“We zien aanwijzingen dat deze taal wordt overgenomen door malware-ontwikkelaars. Het maakt het makkelijker om cross-platform, netwerkvriendelijke software te ontwikkelen, wat is wat malware-auteurs aan het ontwikkelen zijn,” vervolgt Barros.
“Het is interessant omdat het laat zien dat malware-ontwikkelaars hetzelfde patroon volgen van het adopteren van ontwikkeltools op basis van hun ‘eisen’ als elke andere ontwikkelaar.”
Hoewel de manier waarop deze specifieke malware een computer infecteert uniek is in het feit dat het meelift op de achterkant van de foto van de James Webb Telescoop, heeft het nog steeds een gebruiker nodig om een bijlage te downloaden om een hostapparaat te infecteren. Bijgevolg is de beste manier om besmetting te vermijden hetzelfde advies dat wordt gegeven voor elke op e-mail gebaseerde phishing-zwendel: download geen bijlagen van niet-vertrouwde bronnen.
Image credits: NASA, ESA, CSA, en STScI