هکرها این بار به سراغ عکسهای فضایی گرفته شده توسط تلسکوپ جیمز وب رفتهاند و بدافزارها را در آنها مخفی و ذخیره کردهاند. طبق گزارشهای موجود، این کمپین بدافزار جدید «GO#WEBBFUSCATOR» نام دارد و هکرها در آن به فیشینگ ایمیل و ارسال اسناد مخرب میپردازند. همانطور که Bleeping Computer توضیح میدهد، هکرها در این کمپین ابتدا یک ایمیل فیشینگ با نام «Geos-Rates.docx» برای قربانیان ارسال میکنند که با باز کردن آن، یک فایل بهصورت کاملا ناخودآگاه دانلود میشود.
در این شرایط، اگر عنصر ماکرو مجموعه آفیس سیستم هدف کاربر فعال باشد، فایل دانلود شده یک ماکرو VBS را بهطور خودکار اجرا میکند. در نهایت، یک تصویر JPG مخرب روی سیستم آنها بارگیری میشود. در صورتی که کاربران این فایل را با یک برنامه نمایشگر تصویر باز کنند، تصویر خوشه کهکشانی SMACS 0723 که توسط تلسکوپ جیمز وب گرفته شده، برای آنها نمایش داده میشود، در صورتی که حاوی یک بدافزار است.
پس از راهاندازی موفق این کمپین، بدافزار به هکر اجازه میدهد تا از طریق اتصال DNS یک سرور فرمان و کنترل (C2) راهاندازی کند. سپس میتوانند دستورات موردنظر خود را از طریق ابزار cmd.exe ویندوز اجرا کنند. همچنین هکرها در این روش از متدهایی استفاده میکنند تا توسط ابزارهای امنیتی شناسایی نشوند. Bleeping Computer در ادامه گزارش خود به زبان برنامهنویسی Golang مورد استفاده توسط این هکرها اشاره میکند که به دلیل قابلیتهای چند پلتفرمی خود (ویندوز، لینوکس و مک) در بین هکرها محبوبیت زیادی پیدا کرده است. همچنین تشخیص آن توسط ابزارهای امنیتی دشوارتر است. محققان شرکت امنیتی Securonix متوجه شدهاند که دامنههای مورد استفاده در این کمپین اخیرا (29 می 2022) ثبت شدهاند و ابزار VirusTotal هنوز آنها را به عنوان مخرب علامتگذاری نکرده است.