محمد بختیاری

مهاجمان از تصویر معروف «زمینه ژرف وب» تلسکوپ جیمز وب برای انتشار بدافزار استفاده کرده‌اند

یکی از اولین تصاویر گرفته‌شده با تلسکوپ جیمز وب که ناسا آن را منتشر کرد، «واضح‌ترین عکس فروسرخ از جهان دور، تا امروز» بود. این تصویر شگفت‌انگیز خوشه‌ای دقیق از کهکشان را نشان می‌دهد. اکنون برخی مهاجمان سایبری برای آلوده‌کردن سیستم اهداف خود به بدافزار، به استفاده از تصاویر ثبت‌شده با تلسکوپ‌ها روی آورده‌اند. پلتفرم تجزیه‌وتحلیل امنیتی Securonix، کمپین بدافزاری جدیدی شناسایی کرده است که از تصاویر گرفته‌شده با تلسکوپ‌ها برای انتشار کدهای مخرب خود سوءاستفاده می‌کند. این پلتفرم نام کمپین بدافزاری مذکور را GO#WEBBFUSCATOR نامیده است.

به‌گزارش انگجت، حمله‌ی هکرها در این روش با ارسال ایمیل فیشینگ حاوی پیوست به سند مایکروسافت آفیس شروع می‌شود. در بخش ابرداده‌های این سند، آدرس URL پنهانی وجود دارد که فایلی را با یک اسکریپت بارگیری می‌کند و درصورت فعال‌بودن ماکروهای نرم‌افزار ورد، فعال خواهد شد. این روند به‌نوبه‌ی خود یک کپی از اولین عکس زمینه ژرف وب (تصویر بالا) را دانلود می‌کند که حاوی قطعه‌کد مخربی است که درواقع به‌عنوان گواهی پنهان شده است. Securonix در گزارش خود گفت که همه‌ی برنامه‌های آنتی‌ویروس، کد مخرب این تصویر را نمی‌توانند شناسایی کنند.

مقاله‌ی مرتبط:

آگوستو باروس، معاون Securonix، در گفت‌وگو با Popular Science گفت که چند دلیل احتمالی وجود دارد که چرا مهاجمان به استفاده از عکس محبوب تلسکوپ جیمز وب روی آورده‌اند. دلیل اول این است که تصاویر با وضوح زیادی که ناسا منتشر کرده است، بسیار حجیم‌اند؛ به‌همین‌دلیل، می‌توانند از مشکوک‌شدن افراد جلوگیری کنند. علاوه‌براین، حتی در شرایطی که برنامه‌ی ضدبدافزار این عکس را به‌عنوان آیتم آلوده شناسایی کند، شاید کاربران از این هشدار عبور کنند؛ زیرا در چند ماه گذشته، تصویر مذکور به‌طورگسترده در فضای آنلاین به‌اشتراک گذاشته شده است.

نکته‌ی جالب دیگر درباره‌ی کمپین بدافزاری GO#WEBBFUSCATOR این است که از زبان برنامه‌نویسی متن‌باز گوگل موسوم به GoLang استفاده می‌کند. براساس اعلام Securonix، محبوبیت بدافزارهای مبتنی‌بر GoLang در حال افزایش است؛ زیرا این زبان پشتیبانی بین‌پلتفرمی انعطاف‌پذیری دارد و تجزیه‌وتحلیل و مهندسی معکوس آن دشوارتر از بد‌افزارهای مبتنی‌بر سایر زبان‌های برنامه‌نویسی است. همان‌طورکه اشاره کردیم، این کمپین بدافزاری مثل بسیاری دیگر از نمونه‌های موجود، با ارسال ایمیل فیشینگ آغاز می‌شود و بهترین راهکار برای جلوگیری از آن، اجتناب از دانلود پیوست از منابع نامعتبر است.

پاسخی بنویسید