Hace unos meses, la NASA publicaba ‘la imagen infrarroja más nítida del universo distante hasta la fecha’. Dicha fotografía fue tomada gracias al telescopio James Webb, el cual ha ofrecido una asombrosa vista detallada de múltiples galaxias del universo. Sin embargo, la fotografía de la que hablábamos antes también está siendo utilizada por ciberdelincuentes para inyectar malware según la firma de análisis Securonix.

Según dicha firma, se ha identificado una nueva campaña de malware que consiste en usar la imagen del JWST para tomar el control del dispositivo de la víctima.

Un malware que evita cualquier antivirus

El procedimiento que utilizan los atacantes comienza a través del correo electrónico. Y es que mediante el uso de técnicas de phishing y dicha fotografía, logran inyectar malware al equipo del usuario para tomar el control. El e-mail suele contener un documento de Microsoft Office con una URL en los metadatos del mismo. Cuando abrimos el documento, éste descarga un archivo con un script oculto si ciertos macros de Word están activos.

El archivo que descarga es una copia de la imagen del universo del telescopio James Webb, la cual contiene código malicioso que se oculta haciendo creer al sistema que se trata de un certificado más.

Este malware de criptominería llevaba años haciéndose pasar por apps populares en webs de descargas gratis sin ser detectado

En el informe de Securonix se afirma que ningún antivirus fue capaz de detectar el código malicioso que se encontraba en la imagen, por lo que la técnica parece ser bastante grave.

Augusto Barros, vicepresidente de Securonix, cuenta que hay varias razones por las cuales se está utilizando esta imagen para inyectar malware. Una es debido al gran tamaño de los archivos. Y es que las imágenes oficiales en alta resolución de la NASA suelen ser bastante pesadas, por lo que puede ser menos sospechoso en ese aspecto. Además, el hecho de que se haya compartido un buen número de veces por la red, aunque un antivirus notifique del peligro de la imagen, los usuarios podrían ignorar las advertencias al ser imágenes conocidas.

El código malicioso que se inyecta en la imagen es peculiar, ya que se utiliza Golang (Go), el lenguaje de programación open-source de Google. Según la firma analista, este lenguaje está causando cierta popularidad a la hora de diseñar malware debido a su versatilidad en plataformas y es más difícil de analizar mediante ingeniería inversa que en otros lenguajes de programación.

Como viene siendo habitual, la mejor recomendación que os podemos dar para evitar el phishing a través de e-mail es nunca descargar ni abrir archivos adjuntos de contactos desconocidos y marcar como spam el mensaje.

Fuente info
Autor: