一个名为GO#WEBBFUSCATOR的基于Golang的持续恶意软件活动利用了NASA的JamesWebb太空望远镜（JWST）拍摄的宇宙图像作为诱饵，在用户电脑中部署恶意代码。

Securonix透露，鉴于编程语言的跨平台支持，Go在威胁参与者中越来越多地采用Go，有效地允许运营商利用通用代码库来针对不同的操作系统。

Go二进制文件还具有额外的好处，即与用其他语言（如C++或C#）编写的恶意软件相比，渲染分析和逆向工程变得困难，更不用说延长分析和检测尝试了。

包含MicrosoftOffice附件的网络钓鱼电子邮件充当攻击链的入口点，该攻击链在打开时会检索经过模糊处理的VBA宏，如果收件人启用宏，该宏又会自动执行。

宏的执行导致下载图像文件“OxB36F8GEEC634.jpg”，该文件似乎是JWST捕获的第一个宇宙的图像，但在使用文本编辑器进行检查时，实际上是Base64编码的有效负载。

“去混淆的宏代码执行命令，该命令将下载一个名为OxB36F8GEEC634的文件.jpg，使用certutil.exe将其解码为二进制文件（msdllupdate.exe），然后最后执行它，”Securonix研究人员D.Iuzvyk，T.Peck和O.Kolesnikov说。

该二进制文件是大小为1.7MB的Windows64位可执行文件，不仅可以在反恶意软件引擎的雷达下飞行，还可以通过一种称为gobfuscation的技术来掩盖，该技术利用GitHub上公开的Golang混淆工具。

gobfuscate库之前已被记录为ChaChi背后的参与者使用，ChaChi是PYSA（又名Mespinoza）勒索软件操作员使用的远程访问木马，作为其工具集的一部分，以及Sliver命令和控制（C2）框架。

通过加密的DNS查询和响应促进与C2服务器的通信，使恶意软件能够运行服务器通过Windows命令提示符（cmd.exe发送的命令）。

据说该活动的C2域名已于2022年5月下旬注册。

微软决定默认在Office应用程序中阻止宏，这导致许多对手通过切换到流氓LNK和ISO文件来部署恶意软件来调整他们的活动。

GO#WEBBFUSCATOR的参与者是否会采用类似的攻击方法还有待观察。

“使用合法的图像来构建具有Certutil的Golang二进制文件并不常见，”研究人员说，并补充说，“很明显，二进制文件的原始作者在设计有效载荷时考虑了一些琐碎的反取证和反EDR检测方法。