Malware Wslink trabalha na sombra para entregar outras cargas úteis
O malware bem desenvolvido geralmente é o produto de agentes de ameaças conhecidos, cujas atividades são monitoradas de perto por pesquisadores de malware. No entanto, existem alguns projetos cujo código, comportamento e infraestrutura não podem ser vinculados a grupos de crimes cibernéticos existentes. Um desses implantes é o Wslink Malware, descoberto em outubro de 2021. A ameaça é executada exclusivamente em sistemas Windows e parece servir como carregador para cargas secundárias. A maioria dos ataques de malware Wslink concentrou-se na Europa Central, Oriente Médio e América do Norte. Os criminosos parecem estar perseguindo entidades que operam em diferentes setores e não há dados exatos sobre os vetores de infecção que eles usam para implantar o Malware Wslink.
Como funciona o malware Wslink?
As amostras ativas do Malware Wslink geralmente alcançam persistência por meio do uso de serviços do Windows especialmente criados. Todos eles foram configurados para iniciar automaticamente quando o Windows for inicializado. O comportamento e as conexões do implante foram fortemente criptografados, em uma tentativa de ocultá-los de analistas de pesquisa e ferramentas antivírus.
Depois que a carga útil do Wslink Malware é descriptografada, ela é carregada na memória do computador, minimizando a pegada digital que deixa no disco rígido. Isso torna o comportamento do implante mais desafiador de analisar e tem o benefício adicional de ajudá-lo a escapar de aplicativos anti-malware que não são muito completos em suas varreduras.
Até o momento não há informações sobre os módulos secundários que o Wslink Malware recebe e executa. No entanto, a julgar por sua capacidade de carregá-los diretamente na memória do sistema, é provável que seus operadores estejam planejando usar em combinação com outros implantes de alto perfil. A boa notícia é que, apesar da criptografia avançada do Wslink Malware e das técnicas de evasão de AV, ainda é fácil se proteger usando um software antivírus atualizado.