Así usan los hackers una imagen para propagar un Malware

Rubén Castro, 12 septiembre 2022

Las fotografías tomadas por el telescopio James Webb incluyen código malicioso incrustado por piratas informáticos que intentan propagar malware.

Los archivos de imagen utilizados por James Webb suponen un potencial problema de seguridad

En julio de 2022, las primeras fotos de James Webb se pusieron a disposición del público. Estas intrincadas fotografías arrojan luz sobre el aspecto del universo. Personajes desagradables están sacando provecho de este milagroso acontecimiento.

Según la empresa de seguridad Securonix, una de las cinco primeras fotografías tomadas por James Webb está siendo utilizada en la distribución de malware. Dado que está escrito en Golang, Securonix ha dado a la campaña de malware el nombre de “GO#WEBBFUSCATOR”.

La primera versión estable de Golang se produjo en agosto de 2022. No pasó mucho tiempo antes de que los actores maliciosos comenzaran a propagar infecciones utilizando este lenguaje. Golang está disponible en múltiples plataformas, lo cual es una ventaja. Es una excelente herramienta para un adversario que quiera diseminar malware a través de múltiples sistemas operativos, incluyendo Windows, Linux, macOS y otros.

Esta imagen de James Webb contiene malware

Los hackers están utilizando esta fotografía de James Webb para difundir malware insertando código malicioso en el archivo de la imagen, del que han tomado el control. Cuando la víctima descarga la imagen, el malware se coloca en su ordenador. Los correos electrónicos que probablemente sean spam están difundiendo un archivo de imagen malicioso conocido como “Geos-Rates.docx”.

Si el dispositivo de la víctima tiene activadas ciertas macros de Word, la URL de un archivo adjunto malicioso puede descargar un archivo y un script que descargue la imagen del malware James Webb. Esto sólo es posible si el dispositivo de la víctima tiene habilitadas estas macros de Word.

El software antivirus no detectó este software malicioso

En una publicación en su blog, Securonix afirmó que ninguno de los programas antivirus que probaron reconoció esta infección. Varios productos de seguridad, como BitDefender y Acronis, no detectaron la infección.

El malware que es capaz de evadir la detección es especialmente peligroso por la facilidad con la que puede propagarse.

El phishing sigue siendo uno de los métodos más utilizados para propagar los malware

Los ataques de phishing son cada vez más habituales, tanto si se dirigen a particulares como a empresas, y se espera que la primera tendencia continúe en un futuro próximo. Es importante tener precaución al leer las comunicaciones enviadas por correo electrónico, SMS y redes sociales.