Um carregador de malware anteriormente desconhecido foi descoberto esta semana. Wslink chamado, a ferramenta foi descrita como “simples, mas notável,”Capaz de carregar binários maliciosos do Windows. O carregador tem sido usado em ataques contra a Europa Central, América do Norte, e no Oriente Médio.
O carregador de malware Wslink funciona como um servidor
Há algo único neste carregador anteriormente não documentado, e é sua capacidade de funcionar como um servidor e executar módulos recebidos na memória. De acordo com o relatório compilado por pesquisadores da ESET, o vetor de compromisso inicial também é desconhecido. Os pesquisadores não conseguiram obter nenhum dos módulos que o carregador deveria receber. Nenhum código, funcionalidade ou semelhanças operacionais sugerem que o carregador foi codificado por um agente de ameaça conhecido.
Recursos do carregador de malware Wslink
“Wslink é executado como um serviço e escuta em todas as interfaces de rede na porta especificada no valor de registro ServicePort da chave de parâmetros do serviço. O componente anterior que registra o serviço Wslink não é conhecido,”O relatório diz.
Então, um handshake RSA segue com uma chave pública de 2048 bits codificada. Depois, o módulo criptografado é recebido com um identificador único - assinatura e uma chave adicional para sua descriptografia.
"Interessantemente, o módulo criptografado recebido mais recentemente com sua assinatura é armazenado globalmente, tornando-o disponível para todos os clientes. Pode-se economizar tráfego desta forma - transmitir apenas a chave se a assinatura do módulo a ser carregado corresponder à anterior,”ESET disse.
Uma descoberta interessante é que os módulos reutilizam as funções do Wslink para comunicação, chaves e soquetes. Deste jeito, eles não precisam iniciar novas conexões de saída. O carregador também possui um protocolo criptográfico bem desenvolvido para proteger os dados trocados.
Outro novo carregador de malware com potencial para se tornar “a próxima grande novidade” em operações de spam foi detectado pelo Cisco Talos. Apelidado SquirrelWaffle, a ameaça é atualmente “spamming” de documentos maliciosos do Microsoft Office. O objetivo final da campanha é entregar o conhecido malware Qakbot, bem como Cobalt Strike. Estes são dois dos culpados mais comuns usados para direcionar organizações em todo o mundo.