La imagen oculta una carga útil codificada en Base64
Una campaña de malware persistente basada en Golang denominada GO#WEBBFUSCATOR ha aprovechado la imagen de campo profundo tomada del Telescopio Espacial James Webb (JWST) de la NASA como señuelo para desplegar cargas útiles maliciosas en sistemas infectados.
El desarrollo, revelado por Securonix, apunta a la creciente adopción de Go entre los actores de amenazas, dado el soporte multiplataforma del lenguaje de programación, lo que permite a los operadores aprovechar una base de código común para apuntar a diferentes sistemas operativos.
Los binarios de Go también tienen el beneficio adicional de dificultar el análisis y la ingeniería inversa en comparación con el malware escrito en otros lenguajes como C ++ o C #, sin mencionar los intentos prolongados de análisis y detección.
Los correos electrónicos de phishing que contienen un archivo adjunto de Microsoft Office actúan como punto de entrada para la cadena de ataque que, cuando se abre, recupera una macro de VBA ofuscada que, a su vez, se ejecuta automáticamente si el destinatario habilita las macros.
La ejecución de la macro da como resultado la descarga de un archivo de imagen "OxB36F8GEEC634.jpg" que aparentemente es una imagen del primer campo profundo capturado por el JWST pero, cuando se inspecciona con un editor de texto, en realidad es una carga útil codificada en Base64.
"El código [macro] desofuscado ejecuta [un comando] que descargará un archivo llamado OxB36F8GEEC634.jpg, usará certutil.exe para decodificarlo en un binario (msdllupdate.exe) y luego, finalmente, lo ejecutará", dijeron los investigadores de Securonix D. Iuzvyk , T. Peck y O. Kolesnikov.
El binario, un ejecutable de Windows de 64 bits con un tamaño de 1,7 MB, no solo está equipado para volar bajo el radar de los motores antimalware, sino que también se oscurece mediante una técnica llamada gobfuscation, que hace uso de una herramienta de ofuscación de Golang públicamente disponible en GitHub.
La biblioteca gobfuscate ha sido previamente documentada como utilizada por los actores detrás de ChaChi, un troyano de acceso remoto empleado por los operadores del ransomware PYSA (también conocido como Mespinoza) como parte de su conjunto de herramientas, y el marco de comando y control (C2) de Sliver.
La comunicación con el servidor C2 se facilita a través de consultas y respuestas de DNS encriptadas, lo que permite que el malware ejecute comandos enviados por el servidor a través del símbolo del sistema de Windows (cmd.exe). Se dice que los dominios C2 para la campaña se registraron a fines de mayo de 2022.
La decisión de Microsoft de bloquear las macros de forma predeterminada en las aplicaciones de Office ha llevado a muchos adversarios a modificar sus campañas cambiando a archivos LNK e ISO no autorizados para implementar malware. Queda por ver si los actores de GO#WEBBFUSCATOR adoptarán un método de ataque similar.
"No es muy común usar una imagen legítima para construir un binario de Golang con Certutil", dijeron los investigadores. Agregando, "está claro que el autor original del binario diseñó la carga útil con algunas metodologías triviales de contraforense y detección anti-EDR en mente".
