Deze week werd een voorheen onbekende malware-loader ontdekt. genaamd Wslink, de tool is beschreven als "eenvoudig maar opmerkelijk",” in staat om kwaadaardige Windows-binaries te laden. De lader is gebruikt bij aanvallen op Centraal-Europa, Noord Amerika, en het Midden-Oosten.
Wslink malware loader draait als een server
Er is iets unieks in deze voorheen ongedocumenteerde loader, en het is de mogelijkheid om als een server te draaien en ontvangen modules in het geheugen uit te voeren. Volgens het rapport opgesteld door ESET-onderzoekers, de initiële compromisvector is ook onbekend. De onderzoekers zijn er niet in geslaagd een van de modules te verkrijgen die de lader zou moeten ontvangen. Geen code, functionaliteit of operationele overeenkomsten suggereren dat de lader is gecodeerd door een bekende dreigingsactor.
Wslink malware loader mogelijkheden
“Wslink draait als een service en luistert op alle netwerkinterfaces op de poort die is opgegeven in de ServicePort-registerwaarde van de parametersleutel van de service. Het voorgaande onderdeel dat de Wslink-service registreert, is niet bekend,”Zegt het rapport.
Dan, een RSA-handshake volgt met een hardcoded 2048-bit openbare sleutel. Daarna, de versleutelde module wordt ontvangen met een unieke identifier – handtekening en een extra sleutel voor de ontsleuteling ervan.
“Interessant, de meest recent ontvangen versleutelde module met zijn handtekening wordt wereldwijd opgeslagen, beschikbaar maken voor alle klanten. Op deze manier kan men verkeer besparen - verzend alleen de sleutel als de handtekening van de te laden module overeenkomt met de vorige,ESET zei:.
Een interessante ontdekking is dat de modules de functies van Wslink hergebruiken voor communicatie, sleutels en stopcontacten. Zo, ze hoeven geen nieuwe uitgaande verbindingen te starten. De loader beschikt ook over een goed ontwikkeld cryptografisch protocol om de uitgewisselde gegevens te beveiligen.
Een andere nieuwe malware-loader met het potentieel om "the next big thing" te worden in spamoperaties, werd gedetecteerd door Cisco Talos. Dubbed EekhoornWafel, de dreiging is momenteel bezig met het "mal-spammen" van kwaadaardige Microsoft Office-documenten. Het einddoel van de campagne is het leveren van de bekende Qakbot-malware, evenals Cobalt Strike. Dit zijn twee van de meest voorkomende boosdoeners die worden gebruikt voor het targeten van organisaties over de hele wereld.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: