Wslink 恶意软件在阴影中工作以提供其他有效负载
开发良好的恶意软件通常是已知威胁行为者的产物,其活动受到恶意软件研究人员的密切跟踪。但是,有些项目的代码、行为和基础设施无法与现有的网络犯罪集团联系起来。其中一个植入程序是 Wslink 恶意软件,它于 2021 年 10 月被发现。该威胁仅在 Windows 系统上运行,它似乎充当二级负载的加载程序。大多数 Wslink 恶意软件攻击集中在中欧、中东和北美。犯罪分子似乎在追捕在不同行业运营的实体,并且没有关于他们用于部署 Wslink 恶意软件的感染媒介的确切数据。
Wslink 恶意软件如何运作?
Wslink 恶意软件的活动样本通常通过使用特制的 Windows 服务来实现持久性。所有这些都配置为在 Windows 启动时自动启动。植入物的行为和连接被高度加密,以试图将它们从研究分析师和防病毒工具中隐藏起来。
一旦 Wslink 恶意软件有效载荷被解密,它就会被加载到计算机的内存中,从而最大限度地减少它在硬盘上留下的数字足迹。这使得分析植入物的行为更具挑战性,并具有帮助它逃避扫描不太彻底的反恶意软件应用程序的额外好处。
到目前为止,还没有关于 Wslink 恶意软件接收和执行的辅助模块的信息。然而,从它直接将它们加载到系统内存中的能力来看,它的操作者很可能正计划与其他高调植入物结合使用。好消息是,尽管 Wslink 恶意软件具有先进的加密和 AV 规避技术,但通过使用最新的防病毒软件仍然可以轻松保护自己免受攻击。