近日，有安全专家发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。

安全专家称，该恶意软件的感染链，始于一个带有恶意文档“Geos-Rates.docx”的网络钓鱼电子邮件。文档中含一个经过混淆的 VBS 宏，如果在 Office 套件中启用了宏，该宏会自动执行。然后，代码从远程资源（“xmlschemeformat[.]com”）下载 JPG 图像（“OxB36F8GEEC634.jpg”），使用 certutil.exe 将其解码为可执行文件（“msdllupdate.exe”），然后启动它。在图像查看器中，.JPG文件显示了由 NASA 于 2022 年 7 月发布的星系团 SMACS 0723。

通过动态恶意软件分析推断的内容，可执行文件通过将自身复制到“%%localappdata%%\microsoft\vault\”并添加新的注册表项来实现持久性。执行后，恶意软件会与命令和控制 (C2) 服务器建立 DNS 连接并发送加密查询。

值得注意的是，该恶意软件是用 Golang 编写的，Golang 是一种在网络犯罪分子中越来越受欢迎的编程语言，因为它是跨平台的（Windows、Linux、Mac），并且对逆向工程和分析的抵抗力更强。[阅读原文]