Вредоносное ПО Wslink работает в тени, доставляя другие полезные нагрузки

Хорошо разработанное вредоносное ПО обычно является продуктом известных злоумышленников, деятельность которых тщательно отслеживается исследователями вредоносных программ. Однако есть проекты, код, поведение и инфраструктура которых не могут быть связаны с существующими группами киберпреступников. Одним из таких имплантатов является вредоносное ПО Wslink, которое было обнаружено в октябре 2021 года. Угроза работает исключительно в системах Windows и, по-видимому, служит загрузчиком вторичных полезных нагрузок. Большинство атак Wslink Malware было сосредоточено в Центральной Европе, на Ближнем Востоке и в Северной Америке. Преступники, похоже, преследуют организации, работающие в разных отраслях, и нет точных данных о векторах заражения, которые они используют для развертывания вредоносного ПО Wslink.

Как работает вредоносное ПО Wslink?

Активные образцы вредоносного ПО Wslink обычно сохраняются за счет использования специально созданных служб Windows. Все они были настроены на автоматический запуск при загрузке Windows. Поведение имплантата и соединения были сильно зашифрованы в попытке скрыть их от аналитиков-исследователей и антивирусных инструментов.

После расшифровки полезной нагрузки Wslink Malware она загружается в память компьютера, сводя к минимуму цифровой след, который она оставляет на жестком диске. Это делает поведение имплантата более сложным для анализа и дает дополнительное преимущество, помогая ему уклоняться от приложений защиты от вредоносных программ, которые не слишком тщательно проводят свое сканирование.

Пока нет информации о дополнительных модулях, которые Wslink Malware получает и запускает. Однако, судя по его способности напрямую загружать их в память системы, вполне вероятно, что его операторы планируют использовать в сочетании с другими высокопрофильными имплантатами. Хорошая новость заключается в том, что, несмотря на передовые методы шифрования и защиты от антивирусных программ Wslink Malware, от них по-прежнему легко защитить себя с помощью новейшего антивирусного программного обеспечения.