有黑客利用詹姆斯韦伯望远镜热度来传播恶意软件

安全公司 Securonix 的人员详细介绍了一项名为 GO#WEBBFUSCATOR 的恶意软件传播活动，该活动正在利用詹姆斯韦伯望远镜热度来传播恶意软件。

使用 Golang 编程语言的最大优势在于它本身是跨平台兼容的，这意味着相同的代码库可以部署在不同的目标平台上，例如 Linux、macOS 和 Windows（通过 Cyware）。在 Golang 被滥用于恶意目标的最新示例中，不良行为者正在提供几乎无法检测到的恶意软件有效负载，并涉及著名的宇宙 Webb 图像以隐藏恶意脚本。

为了启动复杂的链，黑客首先在收件箱中植入了一封包含恶意 Office 附件的虚假电子邮件。文档的元数据实际上隐藏（或混淆了活动名称的来源）可触发文件下载的元数据。安全研究人员在他们的博客文章中解释说，下载 URL 的目的地进一步试图伪装成合法的 Microsoft 网络链接。

打开文档后，自动下载脚本会保存恶意代码。然后代码会自动执行自身以执行其预期的工作。随后，注入系统的代码会下载一个 jpg 图像文件，该文件看起来像韦伯望远镜捕捉到的快照。然而，使用文本编辑器对图像的分析表明，它实际上隐藏了一个 Base64 代码，该代码本身试图通过将自己伪装成合法证书来避免怀疑。这实际上是有效载荷，它转换为一个 64 位脚本，准备好执行并造成伤害。