Wslink Malware

En tidligere ukendt loader-malware blev opdaget af forskere. Ifølge deres resultater har truslen ved navn Wslink malware ingen forbindelser med nogen af de etablerede cyberkriminelle grupper. Faktisk var der ingen meningsfulde overlapninger i kode, funktionalitet eller operationelle karakteristika. Indtil videre har truslen været indsat i et begrænset antal angreb, hvor ofrene er placeret i Centraleuropa, Nordamerika og Mellemøsten.

Wslink detaljer

Som helhed er læsseren ikke alt for kompleks eller sofistikeret. Imidlertid,den har en ret unik evne til at fungere som en server. Den kører som en service på de kompromitterede systemer og lytter derefter på alle netværksgrænseflader på en specificeret portløbende. Malwaren etablerer en forbindelse og bruger et robust krypteringssystem til at beskytte de udvekslede data.

Wslink vil derefter modtage de beskadigede moduler i næste trin, som den udfører i hukommelsen. De indgående moduler genbruger mange af de funktioner, der allerede findes i læsseren, såsom dem, der er ansvarlige for kommunikation, nøgler og stikkontakter. Denne teknik gør det muligt for de truende implantater at undgå behovet for at etablere nye udgående forbindelser.

Konklusion

På trods af dens relative enkelhed er Wslink Malware en effektiv loader, der kan udføre de skadelige opgaver, den er skabt til. Manglen på ligheder mellem truslen og malware-værktøjerne i de aktuelt kendte APT-grupper (Advanced Persistent Threat) kan pege på eksistensen af en endnu ukendt trusselsaktør.