Χάκερ χρησιμοποιούν εικόνα που τράβηξε το διαστημικό τηλεσκόπιο James Webb για να στείλουν κακόβουλο λογισμικό σε υπολογιστές που χρησιμοποιούν το λειτουργικό σύστημα Windows.
Η εικόνα που περιέχει το κακόβουλο λογισμικό δεν ανιχνεύεται επί του παρόντος από τα προγράμματα προστασίας από ιούς, σύμφωνα με την εταιρεία κυβερνοασφάλειας Securonix, η οποία απέκτησε ένα δείγμα του κακόβουλου λογισμικού.
Ο χάκερ αποκτά πρόσβαση στους υπολογιστές των στόχων του, μέσω μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing) που περιέχουν ένα έγγραφο του Office, το οποίο είναι σχεδιασμένο να κατεβάζει αυτόματα το κακόβουλο λογισμικό στον υπολογιστή του θύματος. Κατά τη διάρκεια της διαδικασίας, η Securonix παρατήρησε ότι το λογισμικό περιλαμβάνει μια εικόνα που κατέγραψε το διαστημικό τηλεσκόπιο James Webb.
Η ίδια η εικόνα είναι ένα αρχείο jpg και μοιάζει με την χαρακτηριστική φωτογραφία μιας περιοχής του διαστήματος που ονομάζεται SMACS 0723, την οποία το διαστημικό τηλεσκόπιο κατέγραψε νωρίτερα φέτος. Όμως, σύμφωνα με την Securonix, το αρχείο αυτό περιέχει κρυφό κώδικα, ο οποίος μπορεί να προβληθεί αν η εικόνα ελεγχθεί με ένα πρόγραμμα επεξεργασίας κειμένου.
«Η εικόνα περιέχει κακόβουλο κώδικα Base64 μεταμφιεσμένο ως πιστοποιητικό. Κατά τη στιγμή της δημοσίευσης, το συγκεκριμένο αρχείο δεν είχε εντοπιστεί από τα προγραμματα antivirus σύμφωνα με το VirusTotal», έγραψε η Securonix στο blog της.
Ο κρυφός κώδικας λειτουργεί ουσιαστικά ως το βασικό δομικό στοιχείο για το κύριο πρόγραμμα κακόβουλου λογισμικού. Κατά την επίθεση, αποκωδικοποιείται ο κώδικας από το αρχείο της εικόνας και μετατρέπεται σε ένα πρόγραμμα των Windows 64-bit που ονομάζεται msdllupdate.exe και το οποίο στη συνέχεια μπορεί να εκτελεστεί.
Η Securonix διαπίστωσε ότι το πρόγραμμα κακόβουλου λογισμικού προσπαθεί να διατηρήσει την παρουσία του σε έναν υπολογιστή με λειτουργικό Windows, εμφυτεύοντας ένα δυαδικό πρόγραμμα στο κλειδί Run του μητρώου των Windows. Αυτό αναγκάζει τον υπολογιστή να εκκινεί το κακόβουλο λογισμικό κάθε φορά που εκκινείται και το σύστημα. Το κακόβουλο λογισμικό είναι επίσης σχεδιασμένο να λαμβάνει εντολές και να επικοινωνεί με τον διακομιστή εντολών και ελέγχου του χάκερ. Ως εκ τούτου, η επίθεση διευκολύνει τους χάκερ να κατασκοπεύσουν ή και να ελέγχουν εξ αποστάσεως έναν υπολογιστή που έχει «μολυνθεί» από τον ιό.
Δεν είναι η πρώτη φορά που ένας χάκερ χρησιμοποιεί εικόνες για να μολύνει υπολογιστές με κακόβουλο λογισμικό. Με την πάροδο των ετών, οι ερευνητές ασφαλείας έχουν εντοπίσει χάκερ που χρησιμοποιούν εικόνες ως έναν διακριτικό τρόπο για να κρύβουν τα κακόβουλα λογισμικά τους ή για να επικοινωνούν με αυτά.
Σε αυτή την περίπτωση, η Securonix σημειώνει ότι τα κακόβουλα αρχεία που ξεκινούν την επίθεση μπορούν να το κάνουν μόνο εάν είναι ενεργοποιημένες οι μακροεντολές και οι θυγατρικές διεργασίες για τα προϊόντα του Office. Διαφορετικά, η τακτική του χάκερ δεν θα μπορεί να εκτελεστεί αυτόματα.
