Aparece una nueva campaña de malware basada en el lenguaje de programación «Go o Golang» denominada GO#WEBBFUSCATOR. Esta campaña aprovecha la imagen del espacio profundo tomada por el Telescopio Espacial James Webb (JWST) y las macros de Microsoft Office como señuelo para transmitir malware oculto y desplegar payloads maliciosos en sistemas infectados.
En este caso, los atacantes utilizan varios métodos de engaño y evasión de filtros para llegar a realizar la comunicación con el C2 (Command and control).
Inicio del ataque
Primero, los atacantes envían un email malicioso, el cual tiene un archivo adjunto con un documento de Microsoft Word.
Este archivo de Word contiene en los metadatos un enlace para descargar una plantilla (form.dot), la cual contiene un script de Visual Basic que inicia la primera etapa de este ataque una vez el usuario habilita las macros.
Este script VBA malicioso se ejecuta nada más habilitar las macros, después de desofuscar el código se ha podido observar que contiene una referencia al servidor C2.
Desofuscación y desarrollo del ataque
Este código ejecuta un comando que descarga un archivo de imagen, la cual contiene un payload codificado en Base64 disfrazado como certificado y que una vez desofuscado utiliza «certutil» para decodificarla en el archivo «msdllupdate.exe» y ejecutarlo.
Este archivo «msdllupdate.exe» es un binario ejecutable de Golang ofuscado con gobfuscate que emplea varias técnicas para evitar el antivirus y dificultar su análisis.
Entre los mecanismos utilizados para su ofuscación se encuentran varias cadenas en ROT25 y payloads cifrados mediante XOR con un desplazamiento de 0x20 bytes.
Para establecer persistencia, el malware se copia a sí mismo en «%%localappdata%%microsoftvault«, creando y ejecutando un ejecutable en batch: «%%localappdata%%microsoftvaultupdate.bat«.
Este malware mantiene comunicación con el C2 aprovechando una técnica de exfiltración de datos mediante el envío de consultas DNS a un servidor DNS C2 de destino controlado por el atacante, utilizando herramientas como DNSCAT2.
Los mensajes cifrados se descifran en el servidor C2, revelando así su contenido original.
En el caso de GO#WEBBFUSCATOR, la comunicación con el servidor de C2 se implementa mediante solicitudes «TXT-DNS» con solicitudes «nslookup» al servidor DNS controlado por el atacante.
Más información:
https://www.securonix.com/blog/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems/ https://thehackernews.com/2022/08/hackers-hide-malware-in-stunning-images.html
La entrada Malware oculto en imágenes del telescopio espacial James Webb se publicó primero en Una al Día.
