Wslink Malware arbejder i skyggen for at levere andre nyttelaster

Veludviklet malware er normalt et produkt af kendte trusselsaktører, hvis aktiviteter følges nøje af malware-forskere. Der er dog nogle projekter, hvis kode, adfærd og infrastruktur ikke kan knyttes til eksisterende cyberkriminalitetsgrupper. Et af disse implantater er Wslink Malware, som blev opdaget i oktober 2021. Truslen kører udelukkende på Windows-systemer, og den ser ud til at fungere som en loader for sekundære nyttelaster. Størstedelen af Wslink Malware-angrebene var koncentreret i Centraleuropa, Mellemøsten og Nordamerika. De kriminelle ser ud til at gå efter enheder, der opererer i forskellige industrier, og der er ingen nøjagtige data om de infektionsvektorer, de bruger til at implementere Wslink Malware.

Hvordan fungerer Wslink Malware?

De aktive prøver af Wslink Malware opnåede normalt vedholdenhed gennem brug af specielt udformede Windows-tjenester. Alle disse blev konfigureret til at starte automatisk, når Windows starter op. Implantatets adfærd og forbindelser var stærkt krypteret i et forsøg på at skjule dem fra forskningsanalytikere og antivirusværktøjer.

Når Wslink Malware-nyttelasten er dekrypteret, indlæses den i computerens hukommelse, hvilket minimerer det digitale fodaftryk, den efterlader på harddisken. Dette gør implantatets adfærd mere udfordrende at analysere og har den ekstra fordel, at det hjælper det med at undgå anti-malware-applikationer, der ikke er for grundige med deres scanninger.

Indtil videre er der ingen information om de sekundære moduler, som Wslink Malware modtager og eksekverer. Men at dømme efter dets evne til direkte at indlæse dem i systemets hukommelse, er det sandsynligt, at dets operatører planlægger at bruge i kombination med andre højprofilimplantater. Den gode nyhed er, at på trods af Wslink Malwares avancerede kryptering og AV-unddragelsesteknikker, er det stadig nemt at beskytte dig selv mod det ved at bruge opdateret antivirussoftware.