En julio pasado, el telescopio James Webb compartió su primera imagen a color del universo, y desde entonces la web se ha inundado de espectaculares fotografías capturadas desde el espacio. Algo que está siendo aprovechado por piratas informáticos para distribuir malware a través de una campaña de phishing.

Este nuevo método para infectar ordenadores con software malicioso se descubrió a través de una empresa de ciberseguridad llamada Securonix. Pero lo verdaderamente llamativo es que el malware no le apunta a aquellos despistados que quieren usar las imágenes del James Webb como fondos de pantalla e intentan descargarlas desde sitios sospechosos. En este caso, las fotos son solo un ingrediente de una receta bastante más compleja.

Las potenciales víctimas del software malicioso, que los expertos han bautizado como GO#WEBBFUSCATOR, reciben un correo electrónico en el que los hackers se hacen pasar por otras personas o empresas. El email incluye como adjunto un documento Word que, al abrirlo, descarga una plantilla maliciosa y la guarda en el sistema. Si el usuario activa las macros en el editor de texto del paquete de Office, se ejecuta un script que comienza la descarga del malware propiamente dicho.

Securonix explica que el script se conecta con un servidor desde el que se descarga un archivo que aparenta ser una imagen en formato JPG, pero que se decodifica con CertUtil y se ejecuta como un binario. A simple vista, la foto en cuestión es la que el James Webb le tomó al cúmulo de galaxias SMACS 0723. Sin embargo, debajo de la superficie hay mucho más.

Es que la supuesta fotografía incluye un código malicioso Base64 que se hace pasar por un certificado. Y lo peor de todo es que, hasta ahora, ninguno de los programas antivirus disponibles en el mercado lo detecta como una amenaza. ¿Qué sucede cuando el malware llega al PC? Ejecuta múltiples pruebas en busca de vulnerabilidades que se puedan explotar.

Malware escondido en una imagen del telescopio James Webb

James Webb

Una de las grandes preguntas que arroja esta situación es por qué los piratas informáticos usan imágenes del telescopio James Webb para distribuir software malicioso. La respuesta más sencilla es que seguramente sea por su popularidad, aunque los expertos aseguran que no se limita a ello.

"Si una solución antimalware la marca para su revisión, el revisor puede pasarla por alto, ya que se trata de una imagen que últimamente se ha compartido a través de muchos canales. Y como las imágenes de alta resolución del telescopio espacial James Webb son muy pesadas, también ayuda a reducir cualquier sospecha relacionada con el tamaño del archivo", explicó Augusto Barros, de Securonix, a Popular Science.

Pero lo que verdaderamente ha llamado la atención de los especialistas en ciberseguridad ha sido la plataforma utilizada para desarrollar el malware. Según se detectó, GO#WEBBFUSCATOR se creó con Go —también conocido como Golang—, un lenguaje de programación diseñado por Google. De acuerdo con Barros, esto se debe a que se trata de un lenguaje sencillo, de fácil acceso a las redes y con soporte multiplataforma.

Las recomendaciones para evitar infecciones de este tipo son bastante sencillas. Primero, revisar que las direcciones de correo electrónico de las personas o empresas que nos escriben sean legítimas. Segundo, nunca descargar archivos adjuntos que provengan de e-mails sospechosos o desconocidos. Tercero, prestar especial atención a cualquier comportamiento extraño en el ordenador. Cuarto, descargar las imágenes del James Webb solo desde fuentes oficiales.

Deja un comentario

Deja tu comentario