Wslink Malware

I ricercatori hanno rilevato un malware del caricatore precedentemente sconosciuto. Secondo le loro scoperte, la minaccia denominata malware Wslink non ha connessioni con nessuno dei gruppi di criminali informatici stabiliti. In effetti, non c'erano sovrapposizioni significative nel codice, nelle funzionalità o nelle caratteristiche operative. Finora, la minaccia è stata dispiegata in un numero limitato di attacchi con le vittime situate in Europa centrale, Nord America e Medio Oriente.

Dettagli wslink

Nel complesso, il caricatore non è eccessivamente complesso o sofisticato. Però,presenta una capacità abbastanza unica di agire come server. Funziona come un servizio sui sistemi compromessi e quindi ascolta su tutte le interfacce di rete su una porta specificatacontinuamente. Il malware stabilisce una connessione e utilizza un robusto sistema di crittografia per salvaguardare i dati scambiati.

Wslink riceverà quindi i moduli corrotti della fase successiva, che eseguirà in memoria. I moduli in ingresso riutilizzano gran parte delle funzioni già presenti nel caricatore, come quelle preposte alla comunicazione, chiavi e prese. Questa tecnica consente agli impianti minacciosi di evitare la necessità di stabilire nuove connessioni in uscita.

Conclusione

Nonostante la sua relativa semplicità, Wslink Malware è un caricatore efficace in grado di svolgere i compiti dannosi per cui è stato creato. La mancanza di somiglianze tra la minaccia e gli strumenti malware dei gruppi APT (Advanced Persistent Threat) attualmente noti potrebbe indicare l'esistenza di un attore di minacce ancora sconosciuto.