Platforma analizy bezpieczeństwa Securonix zidentyfikowała nową kampanię złośliwego oprogramowania, która wykorzystuje ten obraz, a firma nazywa ją GO#WEBBFUSCATOR.

Atak rozpoczyna się od phishingowej wiadomości e-mail zawierającej załącznik Microsoft Office. W metadanych dokumentu ukryty jest adres URL, który pobiera plik ze skryptem, który jest uruchamiany, jeśli włączone są określone makra programu Word. To z kolei powoduje pobranie kopii zdjęcia Webba First Deep Field, które zawiera złośliwy kod podszywający się pod certyfikat. W swoim raporcie na temat kampanii firma stwierdziła, że żadne programy antywirusowe nie są w stanie wykryć szkodliwego kodu na obrazie.

Istnieje kilka możliwych powodów, dla których wybór padł na popularne zdjęcie z Jamesa Webba. Jednym z nich jest to, że zdjęcia w wysokiej rozdzielczości opublikowane przez NASA mają ogromne rozmiary i mogą uniknąć podejrzeń. Ponadto, nawet jeśli jakimś cudem program chroniący przed złośliwym oprogramowaniem go oznaczy, to jest ogromna szansa, że ostrzeżenie zostanie zignorowane, ponieważ był on szeroko udostępniany w Internecie w ciągu ostatnich kilku miesięcy.

Inną ciekawą rzeczą dotyczącą kampanii jest to, że do stworzenia złośliwego oprogramowania wykorzystano Golang, język programowania Google o otwartym kodzie źródłowym. Securonix twierdzi, że rośnie popularność złośliwego oprogramowania opartego na Golangu, ponieważ ma elastyczną obsługę wielu platform i jest trudniejsze do analizy i inżynierii wstecznej niż złośliwe oprogramowanie oparte na innych językach programowania.

Na koniec warto przypomnieć, że podobnie jak w przypadku innych kampanii bazujących na phishingu, najlepszym sposobem na uniknięcie infekcji jest wysoka ostrożność w stosunku do wszelkich załączników z niezaufanych źródeł.