مهاجمان از تصویر معروف «زمینه ژرف وب» تلسکوپ جیمز وب برای انتشار بدافزار استفاده کردهاند
یکی از اولین تصاویر گرفتهشده با تلسکوپ جیمز وب که ناسا آن را منتشر کرد، «واضحترین عکس فروسرخ از جهان دور، تا امروز» بود. این تصویر شگفتانگیز خوشهای دقیق از کهکشان را نشان میدهد. اکنون برخی مهاجمان سایبری برای آلودهکردن سیستم اهداف خود به بدافزار، به استفاده از تصاویر ثبتشده با تلسکوپها روی آوردهاند. پلتفرم تجزیهوتحلیل امنیتی Securonix، کمپین بدافزاری جدیدی شناسایی کرده است که از تصاویر گرفتهشده با تلسکوپها برای انتشار کدهای مخرب خود سوءاستفاده میکند. این پلتفرم نام کمپین بدافزاری مذکور را GO#WEBBFUSCATOR نامیده است.
بهگزارش انگجت، حملهی هکرها در این روش با ارسال ایمیل فیشینگ حاوی پیوست به سند مایکروسافت آفیس شروع میشود. در بخش ابردادههای این سند، آدرس URL پنهانی وجود دارد که فایلی را با یک اسکریپت بارگیری میکند و درصورت فعالبودن ماکروهای نرمافزار ورد، فعال خواهد شد. این روند بهنوبهی خود یک کپی از اولین عکس زمینه ژرف وب (تصویر بالا) را دانلود میکند که حاوی قطعهکد مخربی است که درواقع بهعنوان گواهی پنهان شده است. Securonix در گزارش خود گفت که همهی برنامههای آنتیویروس، کد مخرب این تصویر را نمیتوانند شناسایی کنند.
- جیمز وب دربرابر هابل؛ مقایسه تصاویر دو تلسکوپ فضایی
- تلسکوپ فضایی جیمز وب با ریزشهابوارهای بزرگ برخورد کرده است
آگوستو باروس، معاون Securonix، در گفتوگو با Popular Science گفت که چند دلیل احتمالی وجود دارد که چرا مهاجمان به استفاده از عکس محبوب تلسکوپ جیمز وب روی آوردهاند. دلیل اول این است که تصاویر با وضوح زیادی که ناسا منتشر کرده است، بسیار حجیماند؛ بههمیندلیل، میتوانند از مشکوکشدن افراد جلوگیری کنند. علاوهبراین، حتی در شرایطی که برنامهی ضدبدافزار این عکس را بهعنوان آیتم آلوده شناسایی کند، شاید کاربران از این هشدار عبور کنند؛ زیرا در چند ماه گذشته، تصویر مذکور بهطورگسترده در فضای آنلاین بهاشتراک گذاشته شده است.
نکتهی جالب دیگر دربارهی کمپین بدافزاری GO#WEBBFUSCATOR این است که از زبان برنامهنویسی متنباز گوگل موسوم به GoLang استفاده میکند. براساس اعلام Securonix، محبوبیت بدافزارهای مبتنیبر GoLang در حال افزایش است؛ زیرا این زبان پشتیبانی بینپلتفرمی انعطافپذیری دارد و تجزیهوتحلیل و مهندسی معکوس آن دشوارتر از بدافزارهای مبتنیبر سایر زبانهای برنامهنویسی است. همانطورکه اشاره کردیم، این کمپین بدافزاری مثل بسیاری دیگر از نمونههای موجود، با ارسال ایمیل فیشینگ آغاز میشود و بهترین راهکار برای جلوگیری از آن، اجتناب از دانلود پیوست از منابع نامعتبر است.