Hackers estão usando uma imagem registrada pelo telescópio James Webb para espalhar um malware, um tipo de programa criado para causar danos a um computador, servidor ou rede.
O golpe foi descoberto por pesquisadores da empresa de tecnologia Securonix Threat, que divulgou um comunicado de segurança sobre o assunto nesta semana. De acordo com a companhia, os criminosos usam a linguagem de programação Golang porque ela funciona tanto no Windows, como no Linux e no Mac.
“A campanha de ataque persistente baseada em Golang aproveita a imagem de campo profundo tirada do telescópio James Webb e as cargas úteis da linguagem de programação Golang ofuscadas para infectar o sistema alvo com o malware”, diz parte do aviso.
Malware vem em e-mail com imagem do telescópio James Webb
A infecção inicial começa com um e-mail de phishing (que usa e-mails, mensagens e anúncios enganosos ou sites parecidos com os oficiais) contendo um anexo malicioso do Microsoft Office.
O documento possui uma referência externa oculta nos metadados, que baixa um arquivo de modelo malicioso, o chamado malware, com a intenção de infectar dispositivos que não tenham a proteção contra a execução de macros ativada para baixar conteúdo malicioso.
Semelhante às macros tradicionais do Office, o arquivo de modelo contém um script Visual Basic que iniciará o primeiro estágio de execução de código para esse ataque, assim que o usuário habilitar as macros.
O código então baixa uma imagem JPG do aglomerado de galáxias conhecido como SMACS 0723, registrado pelo telescópio James Webb. No entanto, o arquivo nomeado como OxB36F8GEEC634.jpg, na verdade, começa a executar o malware.
Ainda conforme a Securonix Threat, se a imagem do telescópio James Webb usada para espalhar o malware for analisada JPG ela parece normal. O vírus só é descoberto se o arquivo for aberto em um editor de texto, que revela o conteúdo disfarçado.
Depois da execução do malware estar em curso, ele estabelece uma conexão com o DNS e consegue controlar ou roubar informações do computador.
Para piorar a situação, os mecanismos antivírus não estão conseguindo identificar o conteúdo como de risco.