Эксперты по кибербезопасности обнаружили очередную вредоносную кампанию, которую именовали «GO#WEBBFUSCATOR».
Хакеры отправляют фишинговые сообщения с вложенными злонамеренными файлами. Так, изображение -приманка использует снимок с космического телескопа «Джеймс Уэбб». Сам же вирус от этой кампании, написан на Golang. По словам специалистов, все начинается с фишингового сообщения с вложенным файлом «Geos-Rates.docx». Он загружает документ шаблона, в котором и находится обфусцированный VBS-макрос.
Во время открытия документа пользователь видит скопление галактик SMACS J0723.3-7327, которое было показано НАСА в июле 2022 года. Однако кроме изображения, файл таит в себе еще и дополнительный контент, скрытый под сопутствующий сертификат. В действительности же это зашифрованный Base64 пейлоад, превращающийся в 64-битный исполняемый файл.
