Malware Wslink

Um malware carregador anteriormente desconhecido foi detectado pelos pesquisadores. De acordo com suas descobertas, a ameaça chamada de malware Wslink não tem conexões com nenhum dos grupos cibercriminosos estabelecidos. Na verdade, não houve sobreposições significativas no código, na funcionalidade ou nas características operacionais. Até agora, a ameaça foi implantada em um número limitado de ataques com as vítimas localizadas na Europa Central, América do Norte e Oriente Médio.

Detalhes sobre o Wslink

Como um todo, o carregador não é excessivamente complexo ou sofisticado. Contudo,ele apresenta uma capacidade bastante única de atuar como servidor. Ele é executado como um serviço nos sistemas comprometidos e, em seguida, escuta em todas as interfaces de rede em uma porta especificadacontinuamente. O malware estabelece uma conexão e usa um sistema de criptografia robusto para proteger os dados trocados.

O Wslink receberá então os módulos corrompidos do próximo estágio, que ele executa na memória. Os módulos de entrada reaproveitam muitas das funções já presentes no carregador, como as responsáveis pela comunicação, chaves e soquetes. Esta técnica permite que os implantes ameaçadores evitem a necessidade de estabelecer novas conexões de saída.

Conclusão

Apesar de sua relativa simplicidade, o Wslink Malware é um carregador eficaz que pode realizar as tarefas prejudiciais para as quais foi criado. A falta de semelhanças entre a ameaça e as ferramentas de malware dos grupos APT (Ameaça Persistente Avançada) atualmente conhecidos pode apontar para a existência de um ator de ameaça ainda desconhecido.