Eine hartnäckige Golang-basierte Malware-Kampagne mit dem Namen GO#WEBBFUSCATOR hat das Deep-Field-Bild des James-Webb-Weltraumteleskops (JWST) der NASA als Köder genutzt, um bösartige Nutzlasten auf infizierten Systemen zu installieren.
Diese Entwicklung, die von Securonix aufgedeckt wurde, deutet auf die wachsende Verbreitung von Go unter Bedrohungsakteuren hin, da die Programmiersprache plattformübergreifend unterstützt wird und es den Betreibern ermöglicht, eine gemeinsame Codebasis zu nutzen, um verschiedene Betriebssysteme anzugreifen.
Go-Binärdateien haben außerdem den zusätzlichen Vorteil, dass sie im Gegensatz zu Malware, die in anderen Sprachen wie C++ oder C# geschrieben wurde, die Analyse und das Reverse Engineering erschweren, ganz zu schweigen von den längeren Analyse- und Erkennungsversuchen.
Phishing-E-Mails mit einem Microsoft Office-Anhang dienen als Einstiegspunkt für die Angriffskette, die beim Öffnen ein verschleiertes VBA-Makro abruft, das wiederum automatisch ausgeführt wird, wenn der Empfänger Makros aktiviert.
Die Ausführung des Makros führt zum Download der Bilddatei „OxB36F8GEEC634.jpg“, bei der es sich scheinbar um ein Bild des First Deep Field handelt, das von JWST aufgenommen wurde, die sich aber bei der Überprüfung mit einem Texteditor als Base64-verschlüsselte Nutzdaten herausstellt.
„Der entschleierte [Makro-]Code führt [einen Befehl] aus, der eine Datei namens OxB36F8GEEC634.jpg herunterlädt, sie mit certutil.exe in eine Binärdatei (msdllupdate.exe) dekodiert und sie schließlich ausführt“, so die Securonix-Forscher D. Iuzvyk, T. Peck und O. Kolesnikov.
Die Binärdatei, eine ausführbare Windows 64-Bit-Datei mit einer Größe von 1,7 MB, ist nicht nur so ausgestattet, dass sie unter dem Radar von Anti-Malware-Engines durchfliegt, sondern wird auch durch eine Technik namens Gobfuscation verschleiert, bei der ein auf GitHub öffentlich verfügbares Golang-Verschleierungstool verwendet wird.
Die gobfuscate-Bibliothek wurde bereits von den Akteuren hinter ChaChi, einem Fernzugriffstrojaner, der von den Betreibern der Ransomware PYSA (auch bekannt als Mespinoza) als Teil ihrer Werkzeuge eingesetzt wird, und dem Sliver Command-and-Control (C2) Framework verwendet.
Die Kommunikation mit dem C2-Server erfolgt über verschlüsselte DNS-Anfragen und -Antworten, so dass die Malware Befehle ausführen kann, die vom Server über die Windows-Eingabeaufforderung (cmd.exe) gesendet werden. Die C2-Domänen für die Kampagne sollen Ende Mai 2022 registriert worden sein.
Microsofts Entscheidung, Makros in allen Office-Anwendungen standardmäßig zu blockieren, hat viele Angreifer dazu veranlasst, ihre Kampagnen zu optimieren, indem sie auf gefälschte LNK- und ISO-Dateien für die Verbreitung von Malware umgestiegen sind. Es bleibt abzuwarten, ob die GO#WEBBFUSCATOR-Akteure eine ähnliche Angriffsmethode anwenden werden.
„Es ist nicht üblich, ein legitimes Image zu verwenden, um eine Golang-Binärdatei mit Certutil zu erstellen“, so die Forscher und fügten hinzu: „Es ist klar, dass der ursprüngliche Autor der Binärdatei die Nutzlast mit Blick auf triviale Counter-Forensik und Anti-EDR-Erkennungsmethoden entwickelt hat.