Topo

Até o James Webb: hackers usam imagem do telescópio para espalhar malware

Imagem do telescópio James Webb retrata o cluster de galáxias conhecida como SMACS 0723, em um dos retratos mais profundos já feitos do Universo - Divulgação/NASA, ESA, CSA e STScI
Imagem do telescópio James Webb retrata o cluster de galáxias conhecida como SMACS 0723, em um dos retratos mais profundos já feitos do Universo Imagem: Divulgação/NASA, ESA, CSA e STScI

Simone Machado*

Colaboração para Tilt, em São José do Rio Preto (SP)

31/08/2022 12h35Atualizada em 19/09/2022 18h06

Pesquisadores descobriram que hackers estão usando uma imagem registrada pelo telescópio James Webb, mais novo observatório espacial, para espalhar malware (tipo de programa criado para causar danos a um computador ou rede). A informação foi divulgada esta semana em um comunicado de segurança emitido pela empresa de tecnologia Securonix Threat.

A imagem usada para ocultar o sistema malicioso foi divulgada em julho deste ano e refere-se ao aglomerado de galáxias conhecido como SMACS 0723. Segundo a companhia, a ameaça virtual é baseada em Golang, linguagem de programação que está ganhando popularidade entre hackers porque é multiplataforma (ou seja, é compatível com Windows, Linux, Mac).

Golang oferece ainda maior resistência à engenharia reversa e à análise — estratégias que poderiam ser usadas para identificar como o ataque acontece e aumentar a proteção dos equipamentos. Em seu relatório, a Securonix disse que já está rastreando os ataques e que eles foram identificados como GO#WEBBFUSCATOR.

Como o malware age

O ataque começa com um email de phishing (isca virtual) com um documento malicioso anexado compatível com o Microsoft Office. No caso descoberto, ele se chamava "Geos-Rates.docx".

Esse arquivo contém uma macro — basicamente, sequência de comandos — do sistema VBS (Visual Basic Application) ocultada. Porém, ela passa a ser executada automaticamente se as macros estiverem habilitadas no pacote do Office.

O código então baixa uma imagem em JPG (com o nome de "OxB36F8GEEC634.jpg"), decodifica-a em um sistema executável e o inicia — sem que a vítima saiba o que está ocorrendo.

Em um programa visualizador de imagens, o arquivo em JPG mostra o aglomerado de galáxias SMACS 0723. Agora, se esse arquivo for aberto em um editor de texto, a imagem revela conteúdo adicional disfarçado, que se transforma em um vírus.

Segundo a análise do malware, após a execução, o malware estabelece uma conexão DNS (protocolo que relaciona o endereço "nominal" de um site ou aplicativo com o seu endereço real — número de IP — nos bancos de dados da internet). Nesse processo, são feitas conexões de comando e controle.

"As mensagens [do sistema afetado] criptografadas são lidas e descriptografadas no servidor, revelando assim seu conteúdo original", explica a Securonix no relatório. "Essa prática pode ser usada para estabelecer um canal criptografado para comando e controle ou para extrair dados confidenciais."

O levantamento mostra que a ameaça atualmente não é identificada como conteúdo de risco pelos mecanismos antivírus.

*Com informações dos sites Bleeping Computer e Forbes