L’opportunisme est le maître mot pour les cybercriminels. Surfant sur la vague d’intérêt pour les images dévoilées par le télescope spatial James Webb, ils ont imaginé une campagne de diffusion de malware via ces photos. C’est le constat des experts de l’éditeur Securonix qui ont trouvé une opération baptisée « Go#Webbfuscator » s’appuyant sur du phishing, des documents malveillants et des images du télescope James Webb pour diffuser un malware.
Ce dernier est écrit en Golang, un langage de programmation de plus en plus populaire au sein des cybercriminels car il est multiplateformes (Windows, Linux, Mac) et offre une résistance importante à l’analyse et à la rétro-ingénierie. Dans le cadre de l’attaque découverte par les chercheurs de Securonix, l’infection commence par un email de phishing contenant une pièce-jointe malveillante, « Geos-Rate.docx ». Il comprend une référence externe cachée dans les métadonnées du document qui télécharge un template malveillant.
Une image piégée
Ce dernier comprend une macro VBS obfusquée qui s’exécute automatiquement si les macros sont activées dans la suite Office. Le code télécharge ensuite une image au format jpeg depuis un serveur distant. En la lançant dans une visionneuse, le fichier montre l'amas de galaxies SMACS 0723, publié par la NASA en juillet 2022. Si elle est ouverte avec un éditeur de texte, l’image recèle un contenu supplémentaire déguisé en certificat, qui est une charge utile codée en Base64.
Dès son exécution, le malware établit une connexion DNS avec le serveur de commande et de contrôle (C2) et envoie des requêtes chiffrées. « Dans le cas de GO#WEBBFUSCATOR, la communication avec le serveur C2 est mise en œuvre à l'aide de requêtes `TXT-DNS`utilisant des requêtes `nslookup`vers le serveur de noms contrôlé par l'attaquant. Toutes les informations sont codées en utilisant Base64 », peut-on lire dans l’article des spécialistes de Securonix. Les chercheurs notent que les domaines utilisés pour la campagne ont été enregistrés récemment, le plus ancien datant du 29 mai 2022. Ils ont fourni un ensemble d’indicateurs de compromission (IoC).