En tidligere ukendt malware-indlæser blev afsløret i denne uge. Kaldes Wslink, værktøjet er blevet beskrevet som "simpelt, men alligevel bemærkelsesværdigt,” i stand til at indlæse ondsindede Windows-binære filer. Læsseren er blevet brugt i angreb mod Centraleuropa, Nordamerika, og Mellemøsten.
Wslink malware loader kører som en server
Der er noget unikt i denne tidligere udokumenterede loader, og det er dens evne til at køre som en server og udføre modtagne moduler i hukommelsen. Ifølge rapporten udarbejdet af ESET-forskere, den indledende kompromisvektor er også ukendt. Forskerne har ikke været i stand til at skaffe nogen af de moduler, som læsseren skal modtage. Ingen kode, funktionalitet eller operationelle ligheder tyder på, at loaderen er blevet kodet af en kendt trusselsaktør.
Wslink malware loader-funktioner
"Wslink kører som en tjeneste og lytter på alle netværksgrænseflader på den port, der er angivet i ServicePort-registreringsværdien af tjenestens parameternøgle. Den foregående komponent, der registrerer Wslink-tjenesten, er ikke kendt,”Hedder det i rapporten.
Derefter, et RSA-håndtryk følger med en hårdkodet 2048-bit offentlig nøgle. Bagefter, det krypterede modul modtages med en unik identifikator – signatur og en ekstra nøgle til dets dekryptering.
"Interessant nok, det senest modtagne krypterede modul med sin signatur gemmes globalt, gør det tilgængeligt for alle kunder. Man kan spare trafik på denne måde - send kun nøglen, hvis signaturen på modulet, der skal indlæses, matcher den forrige," sagde ESET.
En interessant opdagelse er, at modulerne genbruger Wslinks funktioner til kommunikation, nøgler og fatninger. På denne måde, de behøver ikke at starte nye udgående forbindelser. Indlæseren har også en veludviklet kryptografisk protokol for at beskytte de udvekslede data.
En anden ny malware-indlæser med potentiale til at blive "den næste store ting" i spam-operationer blev opdaget af Cisco Talos. Døbt EgernVaffel, truslen er i øjeblikket "mal-spamming" af ondsindede Microsoft Office-dokumenter. Kampagnens slutmål er at levere den velkendte Qakbot malware, samt Cobalt Strike. Disse er to af de mest almindelige syndere, der bruges til at målrette mod organisationer over hele verden.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: