Исследователи из компании Securonix, специализирующейся на вопросах информационной безопасности, рассказали о новой стратегии, используемой для распространения вредоносного программного обеспечения.
Заражение компьютера начинается с фишингового электронного письма, содержащего вложение в формате Microsoft Office. В метаданных документа содержится внешняя ссылка. Когда документ открывается, файл вредоносного шаблона загружается и сохраняется в системе, инициируя первый этап выполнения кода атаки.
После выполнения скрипт загружает изображение скопления SMACS 0723 — первый полноцветный снимок, сделанный телескопом «Джеймс Уэбб» и представленный NASA в июле этого года. В код изображения хакеры встроили вредоносный код Base64, замаскированный под включенный сертификат.
Изображение, загружаемое вирусом. Снимок: Securonix
Сгенерированный файл представляет собой 64-разрядный исполняемый файл Windows размером около 1,7 мегабайта, в котором используется несколько методов запутывания, чтобы скрыться от антивирусного программного обеспечения и затруднить анализ. По сообщению компании, на момент публикации сообщения ни один из известных антивирусов не мог найти этот файл.
Вирусная атака, вероятно, строится на популярности нового космического телескопа и желании пользователей поделиться новым снимком. Эксперты по кибербезопасности отмечают, что с ростом удаленной работы, люди стали больше полагаться на цифровые взаимодействия, что повышает уровень доверия к любому контенту, поступающему через Интернет. Этим активно пользуются злоумышленники.
