Gün geçmiyor ki yeni bir hacker haberi duyurulmasın. Güvenlik analiz firması Securonix, bilgisayar korsanlarının, daha geniş bir bilgisayar korsanlığı kampanyasının bir parçası olarak James Web Uzay Teleskobundan alınan bir görüntünün bir kopyasına kötü amaçlı yazılım kodunu sinsice gizlediğini ortaya çıkardı.
James Web Uzay Teleskobu evrenimizin daha önce hiç görmediğimiz netlikte görüntülerini sunuyor, ancak bilgisayar korsanları teleskoptan gelen görüntüleri daha uğursuz amaçlar için kullanmaya çalışıyor. Securonix kısa süre önce, bir kimlik avı e-postası, sahte bir Microsoft Office eki ve Webb Uzay Teleskobundan bu yazın başlarında açıklanan ilk tam renkli görüntü olan SMACS 0723‘ü içeren bir saldırıyı anlatan bir blog yazısı yayınladı. GO#WEBBFUSCATOR başlıklı saldırı, bilgisayarlara sızmayı amaçlayan, çok katmanlı bir saldırı.
Kod, Go kullanarak yazılmış ve Securonix Go tabanlı saldırıların son zamanlarda arttığını ve bu kodların Windows, Mac ve Linux gibi farklı platformlarda çalıştığını belirtiyor.
Saldırı, Microsoft Office’ten gelmiş gibi görünecek şekilde modellenmiş, şüpheli olmayan bir ek içeren bir kimlik avı e-postasıyla başlayan çok aşamalı bir kampanya. İndirildiğinde, kötü amaçlı bir dosya indirilmeye başlıyor. Kullanıcı doğru makroları yüklemişse, dosya daha sonra James Web Uzay Teleskobundan gelen SMACS 0723 görüntüsü olarak görünen ancak bir Base64 kodu içeren bir görüntü dosyasının indirilmesini yürütüyor. Securonix daha sonra kötü amaçlı yazılımın C2 sunucularına bağlanmak için şifreli DNS sorguları yürüteceğini ve rastgele numaralandırma çalıştıracağını söylüyor.
Orijinal SMACS 0723 görüntüsü sağlam görünüyor. Bu yüzden son zamanlarda posta kutusuna gelen Microsoft Office eklentilerine dikkat etmenizde yarar var.
Kaynak: Chip