Las imágenes del telescopio espacial James Webb han logrado maravillar a expertos, aficionados y al público en general. Más allá de la belleza de las capturas la información obtenida es invaluable para la ciencia.
Una de las fotografías presentadas muestra los lugares más distantes del universo con una definición nunca antes conseguida. Lamentablemente la empresa de seguridad informática, Securonix, ha advertido que existe una campaña de malware que utiliza esta imagen para.
Método
El ataque utiliza la técnica de phishing. La potencial víctima recibe un correo con un documento de Microsoft Office. En el caso de Securonix fue Geos-Rates.docx.
En los metadatos del documento se encuentra una dirección web, que descarga el archivo de una plantilla. El enlace está disfrazado como una dirección legítima de Microsoft.
La descarga se produce al abrir el documento. La plantilla maliciosa contiene un script que se ejecuta de forma automática si los macros están habilitados.
En este momento se descarga la imagen First Deep Field. Pero esta imagen contiene mucho más de lo que se puede ver a simple vista. Una vez en nuestra PC un código disfrazado como un certificado es transformado en un archivo ejecutable de 1,7 MB. A partir de ese punto estamos en grandes problemas.
Para un completo análisis recomendamos ver la publicación hecha por la empresa.
Los problemas de la popularidad
Securonix ha advertido que ningún antivirus identifica el malware. El hecho de que sea un archivo tan popular y compartido tantas veces hace que su circulación sea menos sospechosa.
El uso del lenguaje Golang, creado por Google, también parece ser un factor. La compañia advierte que el malware desarrollado con este lenguaje ha aumentado significativamente. Uno de los factores es que el análisis y la igeniería inversa es mucho más difícil de realizar. Por otro lado, resulta mucho más sencillo preparar el producto final para varias plataformas.