„Wslink“ kenkėjiška programa veikia šešėlyje, kad pristatytų kitus naudingus krovinius

Gerai išvystyta kenkėjiška programa paprastai yra žinomų grėsmės veikėjų, kurių veiklą atidžiai stebi kenkėjiškų programų tyrinėtojai, produktas. Tačiau yra keletas projektų, kurių kodas, elgsena ir infrastruktūra negali būti susieti su esamomis elektroninių nusikaltimų grupėmis. Vienas iš šių implantų yra „Wslink“ kenkėjiška programa, kuri buvo aptikta 2021 m. spalį. Grėsmė veikia tik „Windows“ sistemose ir, atrodo, tarnauja kaip antrinių naudingųjų krovinių įkroviklis. Dauguma „Wslink“ kenkėjiškų programų atakų buvo sutelktos Vidurio Europoje, Artimuosiuose Rytuose ir Šiaurės Amerikoje. Panašu, kad nusikaltėliai seka subjektus, veikiančius įvairiose pramonės šakose, ir nėra tikslių duomenų apie infekcijos vektorius, kuriuos jie naudoja „Wslink“ kenkėjiškajai programai įdiegti.

Kaip veikia Wslink kenkėjiška programa?

Aktyvūs Wslink kenkėjiškų programų pavyzdžiai paprastai išliko naudojant specialiai sukurtas Windows paslaugas. Visi jie buvo sukonfigūruoti taip, kad įsijungtų automatiškai, kai paleidžiama „Windows“. Implanto elgesys ir ryšiai buvo labai užšifruoti, bandant juos nuslėpti nuo tyrimų analitikų ir antivirusinių įrankių.

Kai Wslink kenkėjiškos programos naudingoji apkrova iššifruojama, ji įkeliama į kompiuterio atmintį, taip sumažinant skaitmeninį pėdsaką, kurį ji palieka standžiajame diske. Dėl to implanto elgseną sunkiau analizuoti, o papildoma nauda padeda išvengti kenkėjiškų programų, kurios nėra pernelyg kruopščiai nuskaitomos.

Kol kas informacijos apie antrinius modulius, kuriuos gauna ir vykdo Wslink kenkėjiška programa, nėra. Tačiau, sprendžiant iš jo galimybės tiesiogiai įkelti juos į sistemos atmintį, tikėtina, kad jos operatoriai planuoja naudoti kartu su kitais aukšto profilio implantais. Geros naujienos yra tai, kad nepaisant pažangių Wslink Malware šifravimo ir AV vengimo metodų, vis tiek lengva apsisaugoti nuo to naudojant naujausią antivirusinę programinę įrangą.