>> サイバーニュース > Previously Unknown Wslink Malware Loader Can Run As a Server
サイバーニュース

これまで知られていなかったWslinkマルウェアローダーはサーバーとして実行できます

wslinkマルウェアローダー

今週、これまで知られていなかったマルウェアローダーが発見されました. Wslinkと呼ばれる, このツールは「シンプルでありながら注目に値する」と説明されています,」は、悪意のあるWindowsバイナリをロードできます. ローダーは中央ヨーロッパに対する攻撃で使用されています, 北米, と中東.




Wslinkマルウェアローダーはサーバーとして実行されます

この以前に文書化されていないローダーにはユニークなものがあります, サーバーとして実行し、受信したモジュールをメモリ内で実行する機能です。. ESETの研究者がまとめたレポートによると, 初期の妥協ベクトルも不明です. 研究者は、ローダーが受け取ることになっているモジュールのいずれも取得できませんでした. コードなし, 機能または操作上の類似性は、ローダーが既知の脅威アクターによってコーディングされていることを示唆しています.

Wslinkマルウェアローダー機能

「wslinkはサービスとして実行され、サービスのパラメータキーのServicePortレジストリ値で指定されたポート上のすべてのネットワークインターフェイスでリッスンします. Wslinkサービスを登録する前述のコンポーネントは不明です,」と報告書は述べています.

それで, RSAハンドシェイクの後に、ハードコードされた2048ビットの公開鍵が続きます. その後, 暗号化されたモジュールは、一意の識別子(署名と、復号化のための追加のキー)で受信されます.
「興味深いことに, 署名付きで最近受信した暗号化モジュールはグローバルに保存されます, すべてのクライアントが利用できるようにする. この方法でトラフィックを節約できます。ロードするモジュールの署名が前の署名と一致する場合にのみ、キーを送信します。,」ESETは言った.

興味深い発見は、モジュールがWslinkの機能を通信に再利用していることです。, キーとソケット. こちらです, 新しいアウトバウンド接続を開始する必要はありません. ローダーは、交換されたデータを保護するための十分に開発された暗号化プロトコルも備えています.

スパム操作で「次の大きなもの」になる可能性のある別の新しいマルウェアローダーがCiscoTalosによって検出されました. 吹き替え SquirrelWaffle, 脅威は現在、悪意のあるMicrosoftOfficeドキュメントを「スパムスパム」している. キャンペーンの最終目標は、有名なQakbotマルウェアを配信することです, だけでなく、コバルトストライク. これらは、世界中の組織を標的にするために使用される最も一般的な犯人の2つです。.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します