Wslink Malware działa w cieniu, dostarczając inne ładunki
Dobrze rozwinięte złośliwe oprogramowanie jest zwykle produktem znanych cyberprzestępców, których działania są dokładnie śledzone przez badaczy złośliwego oprogramowania. Istnieją jednak projekty, których kodu, zachowania i infrastruktury nie można powiązać z istniejącymi grupami cyberprzestępczymi. Jednym z tych implantów jest złośliwe oprogramowanie Wslink, które zostało wykryte w październiku 2021 r. Zagrożenie działa wyłącznie na systemach Windows i wydaje się, że służy jako moduł ładujący dodatkowe ładunki. Większość ataków Wslink Malware była skoncentrowana w Europie Środkowej, na Bliskim Wschodzie i Ameryce Północnej. Wygląda na to, że przestępcy ścigają podmioty działające w różnych branżach i nie ma dokładnych danych na temat wektorów infekcji, których używają do wdrażania złośliwego oprogramowania Wslink.
Jak działa złośliwe oprogramowanie Wslink?
Aktywne próbki Wslink Malware zwykle osiągały trwałość dzięki użyciu specjalnie spreparowanych usług systemu Windows. Wszystkie zostały skonfigurowane tak, aby uruchamiały się automatycznie podczas uruchamiania systemu Windows. Zachowanie implantu i połączenia były mocno zaszyfrowane, próbując ukryć je przed analitykami badawczymi i narzędziami antywirusowymi.
Po odszyfrowaniu ładunku Wslink Malware jest on ładowany do pamięci komputera, minimalizując jego cyfrowy ślad na dysku twardym. To sprawia, że zachowanie implantu jest trudniejsze do przeanalizowania, a dodatkową korzyścią jest pomaganie mu w omijaniu aplikacji antywirusowych, które nie są zbyt dokładne w swoich skanach.
Jak dotąd nie ma informacji o dodatkowych modułach odbieranych i wykonywanych przez złośliwe oprogramowanie Wslink. Jednak sądząc po możliwości bezpośredniego załadowania ich do pamięci systemu, prawdopodobnie operatorzy planują używać ich w połączeniu z innymi głośnymi implantami. Dobrą wiadomością jest to, że pomimo zaawansowanego szyfrowania Wslink Malware i technik unikania AV, nadal łatwo jest się przed nim chronić, korzystając z aktualnego oprogramowania antywirusowego.