A Wslink rosszindulatú programja árnyékban dolgozik, és más hasznos terheket szállít
A jól kifejlesztett rosszindulatú programok általában ismert fenyegetett szereplők termékei, akiknek tevékenységét a rosszindulatú programok kutatói szorosan nyomon követik. Vannak azonban olyan projektek, amelyek kódja, viselkedése és infrastruktúrája nem kapcsolható össze a meglévő kiberbűnözési csoportokkal. Az egyik ilyen implantátum a Wslink Malware, amelyet 2021 októberében fedeztek fel. A fenyegetés kizárólag Windows rendszereken fut, és úgy tűnik, hogy betölti a másodlagos hasznos terheket. A Wslink Malware támadások többsége Közép-Európában, a Közel-Keleten és Észak-Amerikában összpontosult. Úgy tűnik, hogy a bűnözők különböző iparágakban működő entitásokat keresnek, és nincs pontos adat arról, hogy milyen fertőzési vektorokat használnak a Wslink Malware telepítéséhez.
Hogyan működik a Wslink rosszindulatú program?
A Wslink Malware aktív mintái általában a speciálisan kialakított Windows-szolgáltatások használatával érték el a tartósságot. Ezek mindegyike úgy lett beállítva, hogy a Windows elindulásakor automatikusan elinduljanak. Az implantátum viselkedését és kapcsolatait erősen titkosították, hogy megpróbálják eltitkolni őket a kutatóelemzők és a vírusirtó eszközök elől.
A Wslink Malware hasznos adatának visszafejtése után az betöltődik a számítógép memóriájába, minimalizálva a merevlemezen hagyott digitális lábnyomot. Ez nehezebbé teszi az implantátum viselkedésének elemzését, és további előnye, hogy segít elkerülni azokat a rosszindulatú szoftverek elleni alkalmazásokat, amelyek vizsgálata nem túl alapos.
Egyelőre nincs információ a másodlagos modulokról, amelyeket a Wslink Malware fogad és végrehajt. Abból a szempontból azonban, hogy képes közvetlenül betölteni őket a rendszer memóriájába, valószínű, hogy a kezelők más nagy horderejű implantátumokkal kombinálva kívánják használni. A jó hír az, hogy a Wslink Malware fejlett titkosítási és AV-elkerülési technikái ellenére még mindig könnyű megvédeni magát ez ellen a naprakész vírusirtó szoftverrel.