Ein bisher unbekannter Malware-Loader wurde diese Woche entdeckt. Genannt Wslink, das Tool wurde als „einfach, aber bemerkenswert“ beschrieben,” kann bösartige Windows-Binärdateien laden. Der Lader wurde bei Angriffen gegen Mitteleuropa eingesetzt, Nordamerika, und der Nahe Osten.
Wslink Malware Loader läuft als Server
Es gibt etwas Einzigartiges in diesem bisher undokumentierten Lader, und es ist seine Fähigkeit, als Server zu laufen und empfangene Module im Speicher auszuführen. Laut dem von ESET-Forschern erstellten Bericht, der anfängliche Kompromissvektor ist ebenfalls unbekannt. Die Forscher konnten keines der Module erhalten, die der Lader erhalten soll. Kein Code, Funktions- oder Betriebsähnlichkeiten deuten darauf hin, dass der Loader von einem bekannten Bedrohungsakteur codiert wurde.
Wslink-Malware-Loader-Funktionen
„Wslink wird als Dienst ausgeführt und lauscht auf allen Netzwerkschnittstellen an dem Port, der im ServicePort-Registrierungswert des Parameterschlüssels des Dienstes angegeben ist. Die vorhergehende Komponente, die den Wslink-Dienst registriert, ist nicht bekannt,“Der Bericht sagt.
Dann, Es folgt ein RSA-Handshake mit einem hartcodierten öffentlichen 2048-Bit-Schlüssel. Danach, das verschlüsselte Modul erhält eine eindeutige Kennung – Signatur und einen zusätzlichen Schlüssel für seine Entschlüsselung.
"Interessant, das zuletzt empfangene verschlüsselte Modul mit seiner Signatur wird global gespeichert, Bereitstellung für alle Kunden. Auf diese Weise kann man Verkehr sparen – nur den Schlüssel übertragen, wenn die Signatur des zu ladenden Moduls mit der vorherigen übereinstimmt,“, sagte ESET.
Eine interessante Entdeckung ist, dass die Module die Funktionen von Wslink für die Kommunikation wiederverwenden, Schlüssel und Steckdosen. So, Sie müssen keine neuen ausgehenden Verbindungen initiieren. Der Loader verfügt außerdem über ein gut entwickeltes kryptografisches Protokoll, um die ausgetauschten Daten zu schützen.
Ein weiterer neuer Malware-Loader mit dem Potenzial, „das nächste große Ding“ im Spam-Betrieb zu werden, wurde von Cisco Talos entdeckt. synchronisiert EichhörnchenWaffel, die Bedrohung „mal-spammt“ derzeit bösartige Microsoft Office-Dokumente. Das Endziel der Kampagne ist die Verbreitung der bekannten Qakbot-Malware, sowie Cobalt Strike. Dies sind zwei der häufigsten Übeltäter, mit denen Organisationen weltweit ins Visier genommen werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: