Un chargeur de malware auparavant inconnu a été découvert cette semaine. Appelé Wslink, l'outil a été décrit comme « simple mais remarquable,” capable de charger des binaires Windows malveillants. Le chargeur a été utilisé dans des attaques contre l'Europe centrale, Amérique du Nord, et au Moyen-Orient.
Le chargeur de logiciels malveillants Wslink s'exécute en tant que serveur
Il y a quelque chose d'unique dans ce chargeur auparavant non documenté, et c'est sa capacité à fonctionner en tant que serveur et à exécuter les modules reçus en mémoire. Selon le rapport compilé par les chercheurs d'ESET, le vecteur de compromis initial est également inconnu. Les chercheurs n'ont pu obtenir aucun des modules que le chargeur est censé recevoir. Pas de code, la fonctionnalité ou les similitudes opérationnelles suggèrent que le chargeur a été codé par un acteur connu de la menace.
Capacités du chargeur de logiciels malveillants Wslink
"Wslink s'exécute en tant que service et écoute sur toutes les interfaces réseau sur le port spécifié dans la valeur de registre ServicePort de la clé de paramètres du service. Le composant précédent qui enregistre le service Wslink n'est pas connu,» Le rapport.
Puis, une poignée de main RSA suit avec une clé publique codée en dur de 2048 bits. Après, le module crypté est reçu avec un identifiant unique – signature et une clé supplémentaire pour son décryptage.
"De façon intéressante, le module crypté le plus récemment reçu avec sa signature est stocké globalement, le rendre accessible à tous les clients. On peut ainsi économiser du trafic – ne transmettre la clé que si la signature du module à charger correspond à la précédente,” a déclaré ESET.
Une découverte intéressante est que les modules réutilisent les fonctions de Wslink pour la communication, clés et prises. De cette façon,, ils n'ont pas besoin d'initier de nouvelles connexions sortantes. Le chargeur dispose également d'un protocole cryptographique bien développé pour protéger les données échangées.
Un autre nouveau chargeur de logiciels malveillants susceptible de devenir « la prochaine grande nouveauté » dans les opérations de spam a été détecté par Cisco Talos. Doublé ÉcureuilGaufre, la menace est actuellement en train de « mal-spammer » des documents Microsoft Office malveillants. L'objectif final de la campagne est de diffuser le célèbre malware Qakbot, ainsi que Cobalt Strike. Ce sont deux des coupables les plus couramment utilisés pour cibler des organisations dans le monde entier.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: