Saldırı, Microsoft Office eki içeren bir kimlik avı e-postasıyla başladı. Belgenin meta verilerinin içinde, belirli Word makroları etkinleştirildiğinde çalışan bir komut dosyası içeren bir dosyayı indiren bir URL gizli. Bu da, Webb’in bir sertifika gibi görünen kötü amaçlı kod içeren First Deep Field fotoğrafının (yukarıdaki) bir kopyasını indiriyor. Şirket, kampanyayla ilgili raporunda, tüm anti-virüs programlarının görüntüdeki kötü amaçlı kodu tespit edemediğini söyledi.
Siber saldırılara karşı NASA destekli koruma
Securonix Başkan Yardımcısı Augusto Barros, Popular Science’a kötü aktörlerin popüler James Webb fotoğrafını kullanmayı seçmelerinin birkaç olası nedeni olduğunu söyledi. Birincisi, NASA’nın yayınladığı yüksek çözünürlüklü görüntülerin çok büyük dosya boyutlarında gelmesi ve bu konuda şüpheleri ortadan kaldırabilmesi. Ayrıca, bir kötü amaçlı yazılımdan koruma programı onu işaretlese bile, son birkaç ay içinde çevrimiçi olarak geniş çapta paylaşıldığı için gözden geçirenler bunu geçebilir.
Kampanyayla ilgili bir başka ilginç nokta da, kötü amaçlı yazılımı için Google’ın açık kaynaklı programlama dili olan Golang’ı kullanması. Securonix, Golang tabanlı kötü amaçlı yazılımların popülerliğinin arttığını, çünkü esnek platformlar arası desteğe sahip olduklarını ve diğer programlama dillerine dayalı kötü amaçlı yazılımlara göre analiz edilmesi ve tersine mühendislik yapılmasının daha zor olduğunu söylüyor. Kimlik avı e-postasıyla başlayan diğer kötü amaçlı yazılım kampanyaları gibi, bu saldırının kurbanı olmaktan kaçınmanın en iyi yolu, güvenilmeyen kaynaklardan ekleri indirmekten kaçınmak.