Wslink-malware fungerer i skyggen for å levere andre nyttelaster

Godt utviklet skadelig programvare er vanligvis et produkt av kjente trusselaktører hvis aktiviteter følges nøye av skadevareforskere. Imidlertid er det noen prosjekter hvis kode, oppførsel og infrastruktur ikke kan knyttes til eksisterende cyberkriminalitetsgrupper. Et av disse implantatene er Wslink Malware, som ble oppdaget i oktober 2021. Trusselen kjører utelukkende på Windows-systemer, og den ser ut til å tjene som en laster for sekundære nyttelaster. Flertallet av Wslink Malware-angrepene var konsentrert i Sentral-Europa, Midtøsten og Nord-Amerika. De kriminelle ser ut til å gå etter enheter som opererer i forskjellige bransjer, og det er ingen eksakte data om infeksjonsvektorene de bruker for å distribuere Wslink Malware.

Hvordan fungerer Wslink Malware?

De aktive prøvene av Wslink Malware oppnådde vanligvis utholdenhet ved bruk av spesiallagde Windows-tjenester. Alle disse ble konfigurert til å starte automatisk når Windows starter opp. Implantatets oppførsel og forbindelser var sterkt kryptert, i et forsøk på å skjule dem fra forskningsanalytikere og antivirusverktøy.

Når Wslink Malware-nyttelasten er dekryptert, lastes den inn i minnet til datamaskinen, og minimerer det digitale fotavtrykket den etterlater på harddisken. Dette gjør atferden til implantatet mer utfordrende å analysere, og har den ekstra fordelen at det hjelper det med å unngå anti-malware-applikasjoner som ikke er for grundige med skanningene.

Så langt er det ingen informasjon om de sekundære modulene som Wslink Malware mottar og kjører. Men å dømme etter evnen til å laste dem direkte inn i systemets minne, er det sannsynlig at operatørene planlegger å bruke i kombinasjon med andre høyprofilerte implantater. Den gode nyheten er at til tross for Wslink Malwares avanserte kryptering og AV-unnvikelsesteknikker, er det fortsatt enkelt å beskytte deg mot det ved å bruke oppdatert antivirusprogramvare.