Wslink-Malware arbeitet im Schatten, um andere Nutzlasten bereitzustellen
Gut entwickelte Malware ist normalerweise das Produkt bekannter Bedrohungsakteure, deren Aktivitäten von Malware-Forschern genau verfolgt werden. Es gibt jedoch einige Projekte, deren Code, Verhalten und Infrastruktur nicht mit bestehenden Cybercrime-Gruppen verknüpft werden können. Eines dieser Implantate ist die im Oktober 2021 entdeckte Wslink-Malware. Die Bedrohung läuft ausschließlich auf Windows-Systemen und scheint als Loader für sekundäre Nutzlasten zu dienen. Der Großteil der Wslink-Malware-Angriffe konzentrierte sich auf Mitteleuropa, den Nahen Osten und Nordamerika. Die Kriminellen scheinen nach Unternehmen aus verschiedenen Branchen zu suchen, und es gibt keine genauen Daten über die Infektionsvektoren, die sie zum Einsatz der Wslink-Malware verwenden.
Wie funktioniert die Wslink-Malware?
Die aktiven Samples der Wslink-Malware erreichten in der Regel eine Persistenz durch die Verwendung speziell gestalteter Windows-Dienste. Alle wurden so konfiguriert, dass sie beim Hochfahren von Windows automatisch gestartet werden. Das Verhalten und die Verbindungen des Implantats wurden stark verschlüsselt, um sie vor Forschungsanalysten und Antivirentools zu verbergen.
Sobald die Wslink-Malware-Nutzlast entschlüsselt ist, wird sie in den Speicher des Computers geladen, wodurch der digitale Fußabdruck, den sie auf der Festplatte hinterlässt, minimiert wird. Dies erschwert die Analyse des Verhaltens des Implantats und hat den zusätzlichen Vorteil, dass es Anti-Malware-Anwendungen umgeht, deren Scans nicht allzu gründlich sind.
Bisher gibt es keine Informationen über die sekundären Module, die die Wslink-Malware empfängt und ausführt. Gemessen an seiner Fähigkeit, sie direkt in den Speicher des Systems zu laden, ist es jedoch wahrscheinlich, dass die Betreiber planen, sie in Kombination mit anderen hochkarätigen Implantaten zu verwenden. Die gute Nachricht ist, dass es trotz der fortschrittlichen Verschlüsselungs- und AV-Umgehungstechniken von Wslink Malware immer noch einfach ist, sich mit aktueller Antivirensoftware davor zu schützen.