Wslink Malware

Badacze wykryli wcześniej nieznane złośliwe oprogramowanie ładujące. Według ich ustaleń zagrożenie o nazwie złośliwe oprogramowanie Wslink nie ma powiązań z żadną z ustalonych grup cyberprzestępczych. Rzeczywiście, nie było znaczącego nakładania się kodu, funkcjonalności lub cech operacyjnych. Jak dotąd zagrożenie zostało wykorzystane w ograniczonej liczbie ataków, których ofiary znajdowały się w Europie Środkowej, Ameryce Północnej i na Bliskim Wschodzie.

Szczegóły Wslink

Jako całość ładowarka nie jest zbyt skomplikowana ani wyrafinowana. Jednakże,ma dość unikalną zdolność działania jako serwer. Działa jako usługa na zaatakowanych systemach, a następnie nasłuchuje na wszystkich interfejsach sieciowych na określonym porciebez przerwy. Złośliwe oprogramowanie nawiązuje połączenie i wykorzystuje solidny system szyfrowania do ochrony wymienianych danych.

Wslink otrzyma następnie uszkodzone moduły następnego etapu, które wykonuje w pamięci. Przychodzące moduły ponownie wykorzystują wiele funkcji już obecnych w programie ładującym, takich jak te odpowiedzialne za komunikację, klucze i gniazda. Technika ta pozwala zagrażającym implantom uniknąć konieczności nawiązywania nowych połączeń wychodzących.

Wniosek

Pomimo swojej względnej prostoty, Wslink Malware jest skutecznym programem ładującym, który może wykonywać szkodliwe zadania, do których został stworzony. Brak podobieństw między zagrożeniem a narzędziami do złośliwego oprogramowania znanych obecnie grup APT (Advanced Persistent Threat) może wskazywać na istnienie nieznanego jeszcze cyberprzestępcy.