Uma das primeiras imagens tiradas pelo Telescópio Espacial James Webb acabou sendo uma ferramenta para espalhar malware, disseram especialistas em segurança cibernética da Securonix. A campanha para espalhar o vírus recebeu o nome de GO#WEBBFUSCATOR.
Fonte da imagem: nasa.gov
O primeiro estágio do ataque é um e-mail de phishing com um anexo no formato do Microsoft Office. Os metadados do documento contêm uma URL que, quando navegada, baixa um arquivo de script VBS ofuscado que é executado se o Word tiver macros habilitadas. Quando a macro é executada, um arquivo com uma cópia da foto de James Webb é baixado para o computador, que contém um código Base64 malicioso disfarçado de certificado. De acordo com a Securonix, nenhum software antivírus foi capaz de detectar malware no arquivo de imagem.
O vice-presidente da Securonix, Augusto Barros, citou duas razões pelas quais os cibercriminosos podem escolher uma fotografia de um telescópio em órbita como arma. Em primeiro lugar, os instantâneos de alta resolução são caracterizados por tamanhos de arquivo grandes e são ignorados por antivírus durante a verificação. Em segundo lugar, mesmo que o antivírus sinalize uma possível ameaça, o usuário pode não prestar atenção ao aviso, pois o instantâneo foi amplamente distribuído na Internet.
Os especialistas notaram que o código malicioso usado no ataque está escrito na linguagem de programação Golang criada pelo Google – sua popularidade entre os cibercriminosos está crescendo devido ao suporte por diferentes plataformas e ao fato de esse código ser mais difícil de analisar. E a melhor defesa contra ataques é não abrir anexos de e-mail de fontes desconhecidas.