眾所周知，美國國家宇航局（NASA）的詹姆斯?韋伯太空望遠鏡自發射以來一直為我們人類提供令人嘆為觀止的太空圖像。憑借其卓越的技術，韋伯太空望遠鏡可以捕捉到宇宙大爆炸后不久形成的最早期星系的壯觀景象。

據報道，黑客們也意識到了韋伯望遠鏡所拍攝圖像的受歡迎程度，決定從中牟利。

謹防含有惡意軟件的圖像

安全公司Securonix的安全研究人員已發現了一起新的基于Golang編程語言的惡意軟件活動，該活動利用來自韋伯太空望遠鏡的深空圖像在受感染的設備上部署惡意軟件。

這起持續性活動名為GO#WEBBFUSCATOR，凸顯了惡意軟件運營商日益青睞這種Go編程語言的現狀，可能是由于其跨平臺支持功能讓黑客可以通過一個通用代碼庫攻擊不同的操作系統。

攻擊細節

三位研究人員D. Iuzvyk、T. Peck和O. Kolesnikov在其報告中解釋，這起活動的原理是發送含有Geos-Rates.docx這個Microsoft Office附件的網絡釣魚電子郵件。該文件作為模板來下載。

這些電子郵件充當了攻擊鏈的入口點。打開附件后，如果收件人啟用了宏命令，經過混淆處理的VBA宏命令就會自動執行。宏命令執行后，會下載一個名為OxB36F8GEEC634.jpg的圖像文件。

這似乎是韋伯望遠鏡發送的第一深空圖像，但實際上它卻是由Base64編碼的有效載荷。Windows 64位可執行二進制文件大小為1.7MB。它可以輕松規避反惡意軟件解決方案，并使用一種名為gobfuscation的手法來利用Golang混淆工具，這個工具放在GitHub上向公眾開放。

據研究人員稱，騙子們使用經過加密的DNS查詢/響應與指控與控制（C2）服務器進行聯系，惡意軟件可以通過這臺服務器接受并運行由該服務器通過Windows命令提示符發送的命令。

研究人員特別指出：“使用合法圖像用Certutil構建Golang二進制文件并不是很常見。很顯然，這個二進制文件的原始作者在設計有效載荷時既考慮到了一些簡單的反取證技術，又考慮到了反端點檢測和響應（EDR）檢測方法。

本文翻譯自：https://www.hackread.com/hackers-malware-james-webb-space-telescope-images/如若轉載，請注明原文地址。