なんてロマンがない悪党なんだ!
トップのこの画像、感動した人も多いと思います。ジェイムズ・ウェッブ宇宙望遠鏡が捉えた深宇宙の画像で、7月にNASAから公開され、多くの人がその美しさに息を呑みました。それなのに…、この神秘的な画像によりよってマルウェアを仕込んだ良心もなければセンスのかけらもないハッカーがいるというから腹がたちます!
仕込まれたマルウェアは「GO#WEBBFUSCATOR」
セキュリティ解析を行なうSecuronixによれば、ジェイムズ・ウェッブ宇宙望遠鏡の画像のコピーにマルウェアコードが仕込まれたとのこと。「GO#WEBBFUSCATOR」と名付けられたこの攻撃は、ジェイムズ・ウェッブ宇宙望遠鏡の画像(のコピー)をはじめ、偽Microsoft Office添付ファイルや、フィッシングメールなども絡む、非常に複雑な手口のマルチステージ・マルウェアです。
Microsoft Office由来のような添付ファイルつきフィッシングメールから始まり、これをダウンロードすると悪意あるファイルがダウンロードされてしまいます。ユーザーが特定のマクロ機能をインストールしている場合、このファイルが今度は画像ファイルをダウンロードするかのような挙動を見せるのですが…これが無害なジェイムズ・ウェッブ宇宙望遠鏡の画像に見せかけて、Base64のコードを含んでいるのです。
その後、暗号化されたDNSリクエストが実行され、C2サーバーと繋がり、任意の「列挙コマンド」が発動されていくという流れ。
Bleeping Computerによれば、これはターゲットの端末に攻撃を仕掛け偵察する際によく使われる初期ステップとのこと。
Securonixは今回の攻撃のような、Go言語で書かれたマルウェアの拡大を懸念しています。仕組みを調べるためのリバースエンジニアリングが難しい上に、Windows/ Mac/ Linuxなどのプラットフォームに左右されにくい柔軟性があるからです。
Securonixは、攻撃の最終目的はまだ不明としつつ、現段階では複数の国で幅広い層がターゲーットになっていると注意喚起しています。
よくわかんないメールは開かない! 添付クリックしない! 基本のき!
ジェイムズ・ウェッブ宇宙望遠鏡の深宇宙のオリジナル画像にはなんの問題もないので、NASAのサイトで安心安全に堪能してください。
Source: Securonix
訂正[2022/09/05]マルウェアに関する記述を修正しました。
