أعلنت منصة التحليلات الأمنية Securonix عن وجود حملة برمجيات خبيثة، تستخدم إحدى الصور الأولى التي التقطها تلسكوب جيمس ويب للكون، وتطلق الشركة عليها اسم GO WEBBFUSCATOR لإصابة الأنظمة ببرامج ضارة.
كانت وكالة ناسا قد أصدرت منذ فترة الصورة وهي الصورة الأدق للكون بالأشعة تحت الحمراء حتى الآن، تظهر مجموعة مفصلة من المجرات.
طريقة الهجوم باستخدام صورة الكون البعيد
- يبدأ الهجوم برسالة بريد إلكتروني تصيدية تحتوي على مرفق Microsoft Office.
- يوجد بالملف عنوان URL مخفي داخل البيانات الأولية للمستند يقوم بتنزيل ملف باستخدام برنامج نصي، والذي يتم تشغيله في حالة تمكين وحدات ماكرو معينة في Word.
- يؤدي ذلك إلى تنزيل نسخة من صورة Webb’s First Deep Field التي تحتوي على رمز ضار يتنكر في شكل شهادة.
ووفقا لما نقله موقع Engadget قالت الشركة في تقريرها إن كافة برامج مكافحة الفيروسات لم تتمكن من اكتشاف الشفرة الخبيثة في الصورة، وقد أخبر Securonix VP Augusto Barros مجلة Popular Science أن هناك سببين وراء اختيار “الهاكرز” استخدام صورة جيمس ويب الشهيرة. السبب الأول: أن الصور عالية الدقة لذلك تأتي بأحجام ملفات ضخمة ويمكن أن تتجنب الشك في هذا الصدد، والسبب الثاني: أن الصورة تم تمريرها ملايين المرات فلا يمكن لبرامج كشف الفيروسات التعرف على البرامج الضارة بالملف.
ومن المثير للاهتمام أن هذه الحملة تستخدم Golang، لغة البرمجة مفتوحة المصدر من جوجل، لبرامجها الضارة، وهذه اللغة تزداد شعبيتها، لأنها تتمتع بدعم مرن عبر الأنظمة الأساسية ويصعب تحليلها وهندستها العكسية أكثر من البرامج الضارة القائمة على لغات البرمجة الأخرى.
