Bild des Webb-Teleskops wird zur Verbreitung von Malware missbraucht

Bilder vom James-Webb-Teleskop ziehen aktuell viele faszinierte Blicke auf sich und werden viel geteilt. Diese Tatsache macht sich eine Malware-Kampagne zunutze. Sie versteckt Schadcode hinter dem schönen Schein der Weltraumfotos und hat einige weitere Eigenheiten.

Perfide Malware-Kampagne setzt auf die Anziehungskraft von Bildern

Wenn einem das "bisher schärfste Infrarotbild des fernen Universums" versprochen wird, dann schaut man als Astronomie-Enthusiast doch mal gerne hin - wir hatten euch die erste Rekord-Aufnahme von James Webb natürlich direkt zur Veröffentlichung im Juli ganz risikofrei präsentiert. Wie jetzt die Sicherheitsforscher von Securonix berichten, will eine neue Malware-Kampagne die Anziehungskraft des Deep-Field-Bildes nutzen, um Opfer zu übervorteilen, die einen unvorsichtigen Blick riskieren. Das erste Bild des James-Webb-Teleskops, hier ganz risikofrei zu sehen Seinen Anfang nimmt die mehrstufige Schadcode-Invasion aus dem All wie so oft mit einer Phishing-E-Mail. Im von den Sicherheitsexperten analysierten Fall kommt die mit einem Microsoft Office-Anhang mit dem Namen "Geos-Rates.docx" daher. Im weiteren Schritt machen es sich die Angreifer zunutze, wenn gewisse Word-Makros aktiviert sind - wir hatten über die Sicherheitslücke berichtet. Dann lädt es eine zusätzliche Datei herunter - in diesem Fall das SMACS 0723-Foto des Webb-Teleskops mit einem Base64-Code.

Vor allem gut zu übersehen

Wie Securonix-Mitarbeiter Augusto Barros gegenüber Popular Science beschreibt, geht es den Hinterleuten aber wohl nicht unbedingt in erster Linie darum, mit dem Bild neue Opfer zu finden. "Wenn es von einer Anti-Malware-Lösung zur Überprüfung markiert wird, kann es sein, dass der Prüfer es übersieht, da es sich um ein Bild handelt, das in letzter Zeit über mehrere Kanäle geteilt wurde", sagt er und fügt hinzu: "Da die hochauflösenden Bilder des James-Webb-Weltraumteleskops ebenfalls sehr groß sind, trägt dies auch dazu bei, jeden Verdacht in Bezug auf die Größe der Datei zu verringern."

Securonix verweist noch auf eine weitere interessante Tatsache, die Kampagne nutzt demnach die Open-Source-Programmiersprache Golang von Google für ihre Malware. Diese Basis ist bei Malware in letzter Zeit immer häufiger anzutreffen, da sie plattformübergreifenden Support ermöglicht und schwieriger auf Malware zu analysieren ist als andere Programmiersprachen.

Siehe auch: