Si su dispositivo se infecta y solo servirá para pisar papel, no podrá demandar a la NASA, pues su telescopio James Webb, lanzado el pasado 25 de diciembre para estudiar el Universo profundo y para que la ciencia analice los orígenes de todo, no tendrá la culpa. (Lea: ¡No se queda quieto! Mire lo último que ha captado el James Webb)
Las imágenes en alta resolución y con una nitidez inédita de exoplanetas, nebulosas y estrellas lejanas, que tanto encandilan, están siendo utilizadas por cibercriminales. Los hackers han propagado virus informáticos para estafar a sus eventuales víctimas, por medio de la campaña “GO#WEBBFUSCATOR” que se basa en correos electrónicos de phishing, malwares y archivos maliciosos escondidos en el archivo con imágenes espaciales.
Según lo que indica el reporte de la firma Securonix, los dominios para la campaña fueron registrados el pasado 29 de mayo de 2022 y el malware está escrito en Golang, un lenguaje de programación que ha ganado popularidad entre los piratas informáticos debido a que es multiplataforma, es decir, funciona con Windows, Linux y Mac. Además, este ofrece mayor una resistencia incrementada a la ingeniería inversa y al análisis de expertos en ciberseguridad.
Por lo que indica una artículo de Novared, una empresa de innovación y ciberseguridad, se sabe que el autor de esta amenaza envía cargas útiles que no están señaladas como maliciosas por los motores antivirus de la plataforma de escaneo VirusTotal.
El modus operandi
Según Securonix, citada por Infobae, la infección comienza con un correo electrónico de phishing con un archivo malicioso adjunto nombrado “Geos-Rates.docx” que se descarga en una plantilla. Dicho archivo contiene una serie de herramientas ocultas que engañan a los sistemas de seguridad instalados, haciéndose pasar como una descargable común y no un virus.
Para la empresa esta forma de infiltración en dispositivos, sin identificación alguna por parte de un antivirus, es una grave vulneración de seguridad.
Utilizando el visor de imágenes, se puede apreciar el archivo JPG muestra el cúmulo de galaxias SMACS 0723, el cual fue capturado por el telescopio James Webb de la NASA en julio de 2022. “Si bien a simple vista parece ser una inofensiva réplica de esta fotografía, si se abre con un editor de texto, se revela que la imagen contiene información adicional disfrazada de certificado incluido. Esto en cuestión es una carga útil codificada en Base64 que luego se convierte en un ejecutable malicioso de 64 bits”, precisó Novared.
La imagen que está siendo utilizada por los ciberdelincuentes.
“Los mensajes cifrados son leídos y descifrados en el servidor C2, revelando así su contenido original”, indicó Securonix, citado por Novared. El C2 puede responder al malware estableciendo intervalos de tiempo entre las solicitudes de conexión, cambiando el tiempo de espera de nslookup o enviando comandos para ejecutar a través de la herramienta cmd.exe de Windows.
Durante las pruebas que condujo la firma, se detectó que los autores de esta ciberamenaza ejecutaban comandos de numeración arbitrarios en sus sistemas de prueba, un primer paso de reconocimiento estándar.
Y, de esta manera, los apasionados por la astronomía y por los sucesos del Universo, quedarán expuestos a delincuentes virtuales que tomarán el control de su dispositivo, ya sea un celular, tableta, computadora o portátil, de los usuarios que descargaron una versión infectada de la imagen.
Según indicó a Infobae, Augusto Barros, vicepresidente de Securonix, uno de los motivos por los que los ciberdelincuentes están usando esta imagen del telescopio de la NASA, es por el gran tamaño del archivo debido a su alta resolución, lo que hace que sea menos sospechosa la infiltración del malware. Además, aunque eventualmente este pueda ser reconocido por un antivirus, la advertencia podría ser ignorada pues las imagen es conocida.
¿Cómo evitar el virus?
Appgate, una firma de ciberseguridad, Un reporte realizado por la compañía de ciberseguridad Appgate precisó que de los 4 tipos de fraude virtual más comunes en 2022, el phishing está en el primer lugar. “Este tipo de ataque consiste en que los cibercriminales se hacen pasar por una persona o compañía conocida y que dé una apariencia de confianza a los usuarios para que estos entreguen voluntariamente información privada, ya sean claves de acceso a sus cuentas en redes sociales como códigos bancarios que podrían resultar en el robo de dinero”, estableció Infobae.
Y resaltaron: “Para evitar ser una víctima de este tipo de ataques cibernéticos los usuarios deben tener en cuenta las siguientes recomendaciones: Verificar si el correo que envió el mensaje es legítimo por medio de una revisión de la dirección desde la que se ha producido la comunicación. Segundo, si se trata de una ‘entidad bancaria’ que ofrece alguna promoción u oferta única que solicita ingresar datos por medio de un enlace o formulario, es mejor contactarse directamente con el banco por medio de sus canales oficiales; y, por último, cerciorarse que lo que le envía un conocido o familiar por Whatsapp, preguntándole a la persona sobre el archivo que envió.