Esta semana se descubrió un cargador de malware previamente desconocido. Llamado Wslink, la herramienta ha sido descrita como "simple pero notable,"Capaz de cargar binarios de Windows maliciosos. El cargador se ha utilizado en ataques contra Europa Central, Norteamérica, y Oriente Medio.
El cargador de malware Wslink se ejecuta como servidor
Hay algo único en este cargador previamente indocumentado, y es su capacidad para ejecutarse como servidor y ejecutar módulos recibidos en la memoria. Según el informe elaborado por los investigadores de ESET, el vector de compromiso inicial también se desconoce. Los investigadores no han podido obtener ninguno de los módulos que se supone que debe recibir el cargador.. Sin código, La funcionalidad o las similitudes operativas sugieren que el cargador ha sido codificado por un actor de amenazas conocido..
Capacidades del cargador de malware de Wslink
"Wslink se ejecuta como un servicio y escucha en todas las interfaces de red en el puerto especificado en el valor de registro de ServicePort de la clave de parámetros del servicio. Se desconoce el componente anterior que registra el servicio Wslink,”El informe dice.
Entonces, sigue un protocolo de enlace RSA con una clave pública codificada de 2048 bits. Después, el módulo cifrado se recibe con un identificador único - firma y una clave adicional para su descifrado.
"Curiosamente, el módulo cifrado recibido más recientemente con su firma se almacena globalmente, poniéndolo a disposición de todos los clientes. Se puede ahorrar tráfico de esta manera: transmita solo la clave si la firma del módulo que se va a cargar coincide con la anterior,"ESET dijo.
Un descubrimiento interesante es que los módulos reutilizan las funciones de Wslink para la comunicación., llaves y enchufes. De esta manera, no necesitan iniciar nuevas conexiones salientes. El cargador también cuenta con un protocolo criptográfico bien desarrollado para salvaguardar los datos intercambiados..
Cisco Talos detectó otro nuevo cargador de malware con el potencial de convertirse en "la próxima gran novedad" en las operaciones de spam.. apodado ArdillaGofre, Actualmente, la amenaza es "enviar correo no deseado" a documentos maliciosos de Microsoft Office.. El objetivo final de la campaña es entregar el conocido malware Qakbot, así como Cobalt Strike. Estos son dos de los culpables más comunes utilizados para atacar organizaciones en todo el mundo..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: