Buscar
RPP Noticias
Estás escuchando En vivo
 
00:00 / 00:00
Lima
89.7 FM /730 AM
Arequipa
102.3 FM / 1170 AM
Chiclayo
96.7 FM / 870 AM
Huancayo
97.3 FM / 1140 AM
Trujillo
90.9 FM / 790 AM
Piura
103.3 FM / 920 AM
Cusco
93.3 FM
Cajamarca
100.7 FM / 1130 AM
La información más relevante de la actualidad al momento
Actualizado hace 0 minutos
Informes RPP
La inflación dejó de ser una preocupación
EP 1235 • 04:07
Entrevistas ADN
El Tribunal Constitucional no declaró inocente al prófugo Vladimir Cerrón, precisó abogado
EP 1768 • 17:57
El poder en tus manos
EP138 | INFORMES | ¿Cómo avanza la participación política de las mujeres en América latina?
EP 138 • 03:42

NASA: hackers ocultan malware en imágenes capturadas por el telescopio James Webb

Una firma de ciberseguridad ha revelado una campaña que utiliza una imagen capturada por el telescopio James Webb para difundir malware entre los usuarios.
Una firma de ciberseguridad ha revelado una campaña que utiliza una imagen capturada por el telescopio James Webb para difundir malware entre los usuarios. | Fuente: NASA/Unsplash

Una nueva campaña para difundir malware ha sido reportada y esta vez involucra el uso de imágenes capturadas por James Webb, el telescopio espacial de la NASA.

Todas las noticias en tu celular
¡Únete aquí a nuestro canal de WhatsApp!

James Webb y las imágenes en alta resolución que captura del universo se han convertido en el nuevo medio con el que los ciberdelincuentes estafan y difunden malware a sus potenciales víctimas. A través de la campaña “GO#WEBBFUSCATOR” que se basa en correos electrónicos de phishing, archivos maliciosos y las ya mencionadas imágenes espaciales, los hackers han comenzado a propagar virus informáticos a diversos usuarios.

Según lo que indica el reporte de la firma Securonix, los dominios para la campaña fueron registrados el pasado 29 de mayo de 2022 y el malware está escrito en Golang, un lenguaje de programación que ha ganado popularidad entre los piratas informáticos debido a que es multiplataforma, es decir, funciona con Windows, Linux y Mac. Además, este ofrece mayor una resistencia incrementada a la ingeniería inversa y al análisis de expertos en ciberseguridad.

Por lo que indica el informe, se sabe que el autor de esta amenaza envía cargas útiles que no están señaladas como maliciosas por los motores antivirus de la plataforma de escaneo VirusTotal.

Cadena de infección con imágenes de James Webb

El reporte de la firma menciona que la infección inicia con un correo electrónico de phishing con un archivo malicioso adjunto nombrado “Geos-Rates.docx” que se descarga en una plantilla. Dicho file contiene una macro VBS que se autoejecuta si las macros del paquete de Office están activadas. Luego, dicho código descarga una imagen JPG llamada “OxB36F8GEEC634.jpg” del recurso remoto “xmlschemeformat[.]com” para decodificarla en un ejecutable usando certutil.exe para poder lanzarlo.

Utilizando el visor de imágenes, se puede apreciar el archivo JPG muestra el cúmulo de galaxias SMACS 0723, el cual fue capturado por el telescopio James Webb de la NASA en julio de 2022. Si bien a simple vista parece ser una inofensiva réplica de esta fotografía, si se abre con un editor de texto, se revela que la imagen contiene información adicional disfrazada de certificado incluido. Esto en cuestión es una carga útil codificada en Base64 que luego se convierte en un ejecutable malicioso de 64 bits.

A la izquierda, se muestra la imagen capturada por James Webb y a la derecha el código que oculta el malware en el archivo JPG.

A la izquierda, se muestra la imagen capturada por James Webb y a la derecha el código que oculta el malware en el archivo JPG.Fuente: Securonix

¿Qué hace el malware oculto en las imágenes de James Webb?

Por lo que se ha podido deducir mediante un análisis dinámico, el malware asegura su permanencia en el equipo copiándose a sí mismo en la dirección “%%localappdata%%\microsoft\vault\” de la unidad de almacenamiento y sumando una nueva clave de registro. Después de su ejecución en el sistema, el malware establece una conexión DNS con el servidor de comando y control (C2) para enviar consultas cifradas.

“Los mensajes cifrados son leídos y descifrados en el servidor C2, revelando así su contenido original”, indica Securonix y además menciona que el C2 puede responder al malware estableciendo intervalos de tiempo entre las solicitudes de conexión, cambiando el tiempo de espera de nslookup o enviando comandos para ejecutar a través de la herramienta cmd.exe de Windows.

Durante las pruebas que condujo la firma, se detectó que los autores de esta ciberamenaza ejecutaban comandos de numeración arbitrarios en sus sistemas de prueba, un primer paso de reconocimiento estándar.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.

Tags

Lo último en Más Tecnología

Lo más leído

Suscribirte al boletín de tus noticias preferidas

Suscríbete a nuestros boletines y actualiza tus preferencias

Buzon
Al suscribirte, aceptas nuestras políticas de privacidad

Contenido promocionado

Taboola
SIGUIENTE NOTA