Хакеры прячут вредонос в снимках с космического телескопа Джеймс Уэбб

Хакеры прячут вредонос в снимках с космического телескопа Джеймс Уэбб

Хакеры прячут вредонос в снимках с космического телескопа Джеймс Уэбб

Специалисты по кибербезопасности выявили новую вредоносную кампанию, которую назвали “GO#WEBBFUSCATOR”. Злоумышленники рассылают фишинговые сообщения с вложенными злонамеренными документами. Картинка-приманка использует снимок с космического телескопа «Джеймс Уэбб».

Сам вредонос, распространяемый в этой кампании, написан на Golang. Напомним, что этот язык все чаще используется злоумышленниками, которые любят его за кросс-платформенность (позволяет писать под Windows, Linux, macOS) и устойчивость к обратному инжинирингу и анализу.

В свежей кампании, привлекшей внимание специалистов Securonix, атакующие копируют в систему пейлоад, который пока не детектируется антивирусными движками на VirusTotal.

Все начинается с фишингового письма с вложенным документом “Geos-Rates.docx”. Именно он загружает файл шаблона, содержащий обфусцированный VBS-макрос. Если у пользователя включена эта функциональность в Office, вредоносный код скачивает изображение в формате JPG — “OxB36F8GEEC634.jpg” с удаленного сервера xmlschemeformat[.]com.

На следующем этапе изображение декодируется в исполняемый файл msdllupdate.exe с помощью certutil.exe, который следом запускается. Кстати, JPG при открытии демонстрирует пользователю скопление галактик SMACS J0723.3-7327, опубликованное НАСА в июле 2022 года.

 

Но помимо изображения, файл несет дополнительный контент, замаскированный под сопутствующий сертификат. На деле это зашифрованный Base64 пейлоад, который превращается в 64-битный исполняемый файл. Для закрепления в системе вредонос копирует себя в директорию “%%localappdata%%\microsoft\vault\” и добавляет новый ключ в реестре.

В отчете Securonix специалисты приводят индикаторы компрометации (IoC).

В Петербурге в МАКС запустили поиск бесплатного Wi-Fi поблизости

В Петербурге стало проще охотиться за бесплатным интернетом: в мессенджере МАКС обновили чат-бот «Бесплатный Wi-Fi Санкт-Петербург». Теперь он умеет находить ближайшие точки доступа городской сети по геолокации, сообщили в Смольном.

Функциональность выглядит так: пользователь заходит в чат-бот, нажимает кнопку «Найти ближайшие Wi-Fi точки» и отправляет своё местоположение.

После этого открывается карта с базовыми станциями сети SPB_FREE в радиусе 10 километров. Другими словами, больше не нужно бродить по городу с телефоном в руке, бот сам покажет, где ловить бесплатный интернет.

Сейчас в Петербурге работает более 1 тысячи бесплатных точек доступа. Они есть в 64 МФЦ, 38 парках и 177 медицинских учреждениях. Ещё около 500 приёмопередающих комплексов размещены в городских общественных пространствах.

Для подключения к городской сети нужно пройти аутентификацию по номеру телефона или через учётную запись на «Госуслугах». В Смольном отдельно предупреждают: если сеть не просит аутентификацию или называется не так, как официальная, лучше не подключаться. Бесплатный Wi-Fi — это хорошо, но бесплатная раздача своих данных мошенникам — такое себе.

Тема стала особенно актуальной на фоне обсуждений о расширении зоны покрытия городского Wi-Fi. Ещё в мае председатель Заксобрания Петербурга Александр Бельский говорил, что власти обсуждают с «Ростелекомом» увеличение числа точек доступа, чтобы сгладить последствия ограничений в работе мобильного интернета.

Так что город, похоже, готовит запасной интернет-маршрут: если мобильная сеть начнёт капризничать, искать ближайший Wi-Fi теперь можно прямо через чат-бота.

RSS: Новости на портале Anti-Malware.ru