Hackers usam imagens captadas pelo telescópio James Webb para esconder malware

As imagens captadas pelo telescópio espacial James Webb, que começou a fotografar o universo mais profundo este ano, são impressionantes e estão a ajudar os investigadores a fazer novas descobertas espaciais. No entanto, uma nova investigação revela que há cibercriminosos a usar as imagens captadas pelo telescópio numa campanha maliciosa.

De acordo com os investigadores da Securonix, a campanha, que toma o nome GO#WEBBFUSCATOR, envolve emails de phishing com documentos Microsoft Office maliciosos anexados.

Os especialistas explicam que os documentos em questão incluem referências externas escondidas entre os seus metadados e, ao serem abertos, descarregam para o computador da vítima um outro tipo de ficheiro malicioso.

Caso a vítima tenha as macros ativadas no Office, o ficheiro executa automaticamente um script que dá início à primeira fase do ataque. A partir daqui é descarregada remotamente uma imagem, em formato JPG, que é subsequentemente transformada num ficheiro executável.

O ficheiro, aberto com a aplicação de visualização de imagens, apresenta uma das primeiras fotografias captadas pelo telescópio James Webb, que retrata um cluster da galáxia SMACS 0723.

Porém, ao ser aberto com um editor de texto, o mesmo demonstra que há uma carga maliciosa escondida, que é desencriptada e guardada no computador da vítima como um ficheiro executável chamado msdllupdate.ex.

Uma vez executado, o malware estabelece uma ligação ao servidor de comando e controlo, com os hackers a executarem os comandos pretendidos. Segundo a Securonix, os existem domínios utilizados na campanha que foram registados este ano e, à data da descoberta, a carga maliciosa executada ainda não conseguia ser detetada pela maioria dos softwares de segurança.