Questa settimana è stato scoperto un caricatore di malware precedentemente sconosciuto. Chiamato Wslink, lo strumento è stato descritto come "semplice ma notevole,"in grado di caricare binari Windows dannosi. Il caricatore è stato utilizzato in attacchi contro l'Europa centrale, Nord America, e il Medio Oriente.
Il caricatore di malware Wslink funziona come un server
C'è qualcosa di unico in questo caricatore precedentemente non documentato, ed è la sua capacità di funzionare come server ed eseguire moduli ricevuti in memoria. Secondo il rapporto compilato dai ricercatori ESET, anche il vettore di compromesso iniziale è sconosciuto. I ricercatori non sono stati in grado di ottenere nessuno dei moduli che il caricatore dovrebbe ricevere. Nessun codice, funzionalità o somiglianze operative suggeriscono che il caricatore è stato codificato da un noto attore di minacce.
Funzionalità del caricatore di malware Wslink
“Wslink viene eseguito come un servizio e ascolta su tutte le interfacce di rete sulla porta specificata nel valore di registro ServicePort della chiave Parameters del servizio. Il componente precedente che registra il servizio Wslink non è noto,”Dice il rapporto.
Poi, segue un handshake RSA con una chiave pubblica a 2048 bit codificata. Dopo, il modulo crittografato viene ricevuto con un identificatore univoco – firma e una chiave aggiuntiva per la sua decrittazione.
“Interessante, il modulo crittografato ricevuto più di recente con la sua firma viene archiviato a livello globale, rendendolo disponibile a tutti i clienti. Si può risparmiare traffico in questo modo – trasmettere la chiave solo se la firma del modulo da caricare corrisponde a quella precedente,"ESET ha detto.
Una scoperta interessante è che i moduli riutilizzano le funzioni di Wslink per la comunicazione, chiavi e prese. Questo modo, non hanno bisogno di avviare nuove connessioni in uscita. Il caricatore dispone anche di un protocollo crittografico ben sviluppato per salvaguardare i dati scambiati.
Un altro nuovo caricatore di malware con il potenziale per diventare "la prossima grande novità" nelle operazioni di spam è stato rilevato da Cisco Talos. Soprannominato ScoiattoloWaffle, la minaccia è attualmente "mal-spamming" di documenti di Microsoft Office dannosi. L'obiettivo finale della campagna è fornire il noto malware Qakbot, così come Cobalt Strike. Questi sono due dei colpevoli più comuni utilizzati per prendere di mira le organizzazioni in tutto il mondo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: