これまで知られていなかったWslinkマルウェアローダーはサーバーとして実行できます

今週、これまで知られていなかったマルウェアローダーが発見されました. Wslinkと呼ばれる, このツールは「シンプルでありながら注目に値する」と説明されています,」は、悪意のあるWindowsバイナリをロードできます. ローダーは中央ヨーロッパに対する攻撃で使用されています, 北米, と中東.

Wslinkマルウェアローダーはサーバーとして実行されます

この以前に文書化されていないローダーにはユニークなものがあります, サーバーとして実行し、受信したモジュールをメモリ内で実行する機能です。. ESETの研究者がまとめたレポートによると, 初期の妥協ベクトルも不明です. 研究者は、ローダーが受け取ることになっているモジュールのいずれも取得できませんでした. コードなし, 機能または操作上の類似性は、ローダーが既知の脅威アクターによってコーディングされていることを示唆しています.

Wslinkマルウェアローダー機能

「wslinkはサービスとして実行され、サービスのパラメータキーのServicePortレジストリ値で指定されたポート上のすべてのネットワークインターフェイスでリッスンします. Wslinkサービスを登録する前述のコンポーネントは不明です,」と報告書は述べています.

それで, RSAハンドシェイクの後に、ハードコードされた2048ビットの公開鍵が続きます. その後, 暗号化されたモジュールは、一意の識別子（署名と、復号化のための追加のキー）で受信されます.
「興味深いことに, 署名付きで最近受信した暗号化モジュールはグローバルに保存されます, すべてのクライアントが利用できるようにする. この方法でトラフィックを節約できます。ロードするモジュールの署名が前の署名と一致する場合にのみ、キーを送信します。,」ESETは言った.

興味深い発見は、モジュールがWslinkの機能を通信に再利用していることです。, キーとソケット. こちらです, 新しいアウトバウンド接続を開始する必要はありません. ローダーは、交換されたデータを保護するための十分に開発された暗号化プロトコルも備えています.

スパム操作で「次の大きなもの」になる可能性のある別の新しいマルウェアローダーがCiscoTalosによって検出されました. 吹き替え SquirrelWaffle, 脅威は現在、悪意のあるMicrosoftOfficeドキュメントを「スパムスパム」している. キャンペーンの最終目標は、有名なQakbotマルウェアを配信することです, だけでなく、コバルトストライク. これらは、世界中の組織を標的にするために使用される最も一般的な犯人の2つです。.