Wslink-malware

Onderzoekers hebben een voorheen onbekende loader-malware gedetecteerd. Volgens hun bevindingen heeft de dreiging met de naam Wslink-malware geen connecties met een van de gevestigde cybercriminele groepen. Er waren inderdaad geen betekenisvolle overlappingen in code, functionaliteit of operationele kenmerken. Tot nu toe is de dreiging ingezet in een beperkt aantal aanslagen waarbij de slachtoffers zich bevinden in Centraal-Europa, Noord-Amerika en het Midden-Oosten.

Wslink-details

Als geheel is de lader niet overdreven complex of geavanceerd. Echter,het beschikt over een vrij unieke mogelijkheid om als server te fungeren. Het draait als een service op de gecompromitteerde systemen en luistert vervolgens op alle netwerkinterfaces op een gespecificeerde poortdoorlopend. De malware brengt een verbinding tot stand en gebruikt een robuust encryptiesysteem om de uitgewisselde gegevens te beveiligen.

Wslink zal dan de beschadigde modules van de volgende fase ontvangen, die het in het geheugen uitvoert. De inkomende modules hergebruiken veel van de functies die al in de loader aanwezig zijn, zoals die voor communicatie, sleutels en stopcontacten. Met deze techniek kunnen de bedreigende implantaten de noodzaak om nieuwe uitgaande verbindingen tot stand te brengen, vermijden.

Conclusie

Ondanks zijn relatieve eenvoud is de Wslink Malware een effectieve lader die de schadelijke taken kan uitvoeren waarvoor het is gemaakt. Het gebrek aan overeenkomsten tussen de dreiging en de malwaretools van de momenteel bekende APT-groepen (Advanced Persistent Threat) zou kunnen wijzen op het bestaan van een tot nu toe onbekende dreigingsactor.