Wslink Malware fungerar i skuggan för att leverera andra nyttolaster

Välutvecklad skadlig programvara är vanligtvis produkten av kända hotaktörer vars aktiviteter är noggrant spårade av skadlig programvara. Det finns dock några projekt vars kod, beteende och infrastruktur inte kan kopplas till befintliga cyberbrottsgrupper. Ett av dessa implantat är Wslink Malware, som upptäcktes i oktober 2021. Hotet körs uteslutande på Windows-system, och det verkar fungera som en laddare för sekundära nyttolaster. Majoriteten av Wslink Malware-attackerna var koncentrerade till Centraleuropa, Mellanöstern och Nordamerika. Brottslingarna verkar gå efter enheter som är verksamma i olika branscher, och det finns inga exakta uppgifter om infektionsvektorerna de använder för att distribuera Wslink Malware.

Hur fungerar Wslink Malware?

De aktiva exemplen av Wslink Malware uppnådde vanligtvis persistens genom användning av specialgjorda Windows-tjänster. Alla dessa konfigurerades för att starta automatiskt när Windows startar upp. Implantatets beteende och anslutningar var kraftigt krypterade, i ett försök att dölja dem från forskningsanalytiker och antivirusverktyg.

När Wslink Malware-nyttolasten är dekrypterad laddas den in i datorns minne, vilket minimerar det digitala fotavtryck den lämnar på hårddisken. Detta gör implantatets beteende mer utmanande att analysera och har den extra fördelen att det hjälper det att undvika anti-malware-applikationer som inte är alltför noggranna med sina skanningar.

Än så länge finns det ingen information om de sekundära modulerna som Wslink Malware tar emot och kör. Men att döma av dess förmåga att direkt ladda dem i systemets minne, är det troligt att dess operatörer planerar att använda i kombination med andra högprofilerade implantat. Den goda nyheten är att trots Wslink Malwares avancerade kryptering och AV-undandragningstekniker är det fortfarande lätt att skydda sig mot det genom att använda uppdaterad antivirusprogramvara.