Wslink-haittaohjelma

Tutkijat havaitsivat aiemmin tuntemattoman lataushaittaohjelman. Heidän havaintojensa mukaan Wslink-haittaohjelma-nimisellä uhalla ei ole yhteyttä mihinkään vakiintuneeseen kyberrikollisryhmään. Itse asiassa koodissa, toiminnallisuudessa tai toiminnallisissa ominaisuuksissa ei ollut merkittäviä päällekkäisyyksiä. Toistaiseksi uhkaa on käytetty rajallisessa määrässä hyökkäyksiä, joiden uhrit ovat olleet Keski-Euroopassa, Pohjois-Amerikassa ja Lähi-idässä.

Wslink tiedot

Kaiken kaikkiaan kuormaaja ei ole liian monimutkainen tai hienostunut. Kuitenkin,siinä on melko ainutlaatuinen kyky toimia palvelimena. Se toimii palveluna vaarantuneissa järjestelmissä ja kuuntelee sitten kaikkia tietyn portin verkkoliitäntöjäjatkuvasti. Haittaohjelma muodostaa yhteyden ja käyttää vahvaa salausjärjestelmää suojatakseen vaihdetut tiedot.

Wslink vastaanottaa sitten seuraavan vaiheen vioittuneet moduulit, jotka se suorittaa muistiin. Saapuvat moduulit käyttävät uudelleen suuren osan lataajassa jo olevista toiminnoista, kuten tiedonsiirrosta, avaimista ja pistorasioista vastaavat. Tämän tekniikan avulla uhkaavat implantit välttävät tarvetta luoda uusia lähteviä yhteyksiä.

Johtopäätös

Suhteellisesta yksinkertaisuudestaan huolimatta Wslink-haittaohjelma on tehokas latausohjelma, joka voi suorittaa haitalliset tehtävät, joita varten se luotiin. Yhtäläisyyksien puute uhan ja tällä hetkellä tunnettujen APT (Advanced Persistent Threat) -ryhmien haittaohjelmatyökalujen välillä saattaa viitata toistaiseksi tuntemattoman uhkatoimijan olemassaoloon.