مراقب باشید، هکرها بدافزارها را از طریق تصاویر تلسکوپ فضایی جیمز وب وارد سیستم شما می‌کنند

گروهی از متخصصان امنیت متوجه شده‌اند که هکرها در حال انتشار بدافزار خاصی در اینترنت هستند که از تصویر تلسکوپ جیمز وب برای گول زدن کاربران استفاده می‌کند.

ناسا در تاریخ جولای 2022، اولین تصاویر ثبت شده توسط تلسکوپ فضایی جیمز وب را منتشر کرد. در این بین تصویری از خوشه کهکشانی «SMACS 0723» وجود داشت. ناسا این عکس را عمیق‌ترین تصویر فروسرخ از کیهان نامید. هزاران کهکشان که در این تصویر به یاد ماندنی ظاهر می‌شوند، جزو کم‌نورترین اجرامی هستند که تا به حال در جهان مشاهده شده‌اند (آن هم در طیف مغناطیسی مادون قرمز). اما متاسفانه همین تصویر، اکنون توسط هکرها برای ایجاد بدافزار و کنترل انواع سیستم‌ها از یک سرور راه دور، مورد استفاده قرار می‌گیرد.

اعضای شرکت امنیتی Securonix، یک کمپین آگاه سازی در مورد بدافزاری که از عکس معروف تلسکوپ جیمز وب، سو استفاده می‌کن را به راه انداخته‌اند. بزرگترین مزیتی که با استفاده از زبان برنامه نویسی «Golang» حاصل می‌شود، این است که به طور پیش فرض با چند پلتفرم مختلف سازگار است؛ به این معنی که همان پایگاه کد را می‌توان در پلتفرم‌های هدف مختلف مانند لینوکس، macOS و ویندوز (از طریق Cyware) مستقر کرد. در آخرین نمونه از سو استفاده از Golang برای اهداف مخرب، گروهی از هکرهای ناشناس در حال گسترش یک بدافزار در اینترنت هستند که تقریبا غیرقابل شناسایی است که از تصویر مشهور تلسکوپ جیمز وب برای پنهان کردن اسکریپت‌های مخربش استفاده می‌کند.

بیشتر بخوانید: هشدار اپل در مورد ضعف امنیتی جدید آیفون که به هکرها اجازه کنترل کامل گوشی را می‌دهد

برای شروع زنجیره‌ی پیچیده‌ی بدافزار، هکرها ابتدا یک ایمیل جعلی، حاوی یک پیوست آفیس مخرب با برچسب Geos-Rates.docx را به صندوق پیام ارسال می‌کنند. متادیتای (Metadata) این فایل در واقع می‌تواند از سیستم آنتی ویروس پنهان بماند و دانلود اتوماتیک یک فایل ناشناس دیگر را آغاز کند. محققان امنیتی در پست وبلاگ خود توضیح دادند که مقصد URL دانلود سعی می‌کند به عنوان یک لینک قانونی از سوی مایکروسافت معرفی شود تا مخاطب به چنین فایلی شک نکند.

بدافزار تلسکوپ جیمز وب؛ حمله‌ای زیرکانه و مخرب

پس از باز شدن سند، اسکریپت دانلود خودکار، کد مخرب را ذخیره می‌کند. سپس کد به طور خودکار خود را اجرا می‌کند تا هدف مورد نظر خود را انجام دهد. در ادامه کد نفوذی به سیستم، یک فایل تصویری jpg را دانلود می‌کند که شبیه عکسی است که توسط تلسکوپ جیمز وب گرفته شده است. با این حال، آنالیز تصویر با استفاده از یک ویرایشگر متن نشان می‌دهد که در واقع یک کد Base64 (بدافزار) در تصویر تلسکوپ جیمز وب پنهان شده که سعی می‌کند با ارائه‌ی خود به عنوان یک گواهی قانونی، از شک کردن کاربر جلوگیری کند. در واقع این «پِی‌لود» است که به یک اسکریپت 64 بیتی تبدیل می‌شود که آماده‌ی اجرا و آسیب زدن به سیستم است.

متخصصان امنیت شبکه می‌گوید آنچه سطح تهدید در این بدافزار را بالا می‌برد، این واقعیت است که کد Base64 از چشم «همه‌ی آنتی‌ویروس‌ها» پنهان می‌ماند؛ بدون اینکه نوتیف‌های هشدار امنیتی سیستم را به صدا درآورد. چندین لایه رمزگذاری پیچیده و مبهم در هنگام اجرا برای فرار پی‌لود از شناسایی سیستم استفاده می‌شود. به محض اجرای پی‌لود، سیستم مورد نظر به یک سرور راه دور متصل می‌شود و رایانه شخصی به طور کامل در اختیار یک هکر قرار می‌گیرد. پس از برقراری ارتباط، بسته‌های اطلاعاتیِ رمزگذاری شده برای هکر ارسال می‌شود و هدف بدافزار تکمیل می‌شود؛ آن هم به کمک عکسی از تلسکوپ جیمز وب!

بیشتر بخوانید: هک کردن ماهواره‌ های فضایی ، آسان‌تر از چیزی است که فکرش را کنید

اعضای شرکت Securonix خاطرنشان می‌کنند: «این روش می‌تواند برای ایجاد یک کانال رمزگذاری شده برای کنترل یا استخراج داده‌های حساس توسط افراد سودجو استفاده شود».

اما موردی که این هک را خطرناک‌تر می‌کند، این است که بدافزار ذکرشده، کلید Run رجیستری ویندوز را فریب می‌دهد و به صورت پایدار در سیستم باقی می‌ماند؛ به این معنی که ریبوت مجدد سیستم، کد مخرب را حذف نمی‌کند. در این مرحله، انجام کارهای مخرب از کنترل سیستم برای استخراج اطلاعات شخصی و باج گیری گرفته تا سرقت داده‌ها و جاسوسی، به مهارت‌ها و اهداف هکر بستگی دارد.