Wslink 惡意軟件在陰影中工作以提供其他有效負載
開發良好的惡意軟件通常是已知威脅行為者的產物,其活動受到惡意軟件研究人員的密切跟踪。但是,有些項目的代碼、行為和基礎設施無法與現有的網絡犯罪集團聯繫起來。其中一個植入程序是 Wslink 惡意軟件,它於 2021 年 10 月被發現。該威脅僅在 Windows 系統上運行,它似乎充當二級負載的加載程序。大多數 Wslink 惡意軟件攻擊集中在中歐、中東和北美。犯罪分子似乎在追捕在不同行業運營的實體,並且沒有關於他們用於部署 Wslink 惡意軟件的感染媒介的確切數據。
Wslink 惡意軟件如何運作?
Wslink 惡意軟件的活動樣本通常通過使用特製的 Windows 服務來實現持久性。所有這些都配置為在 Windows 啟動時自動啟動。植入物的行為和連接被高度加密,以試圖將它們從研究分析師和防病毒工具中隱藏起來。
一旦 Wslink 惡意軟件有效載荷被解密,它就會被加載到計算機的內存中,從而最大限度地減少它在硬盤上留下的數字足跡。這使得分析植入物的行為更具挑戰性,並具有幫助它逃避掃描不太徹底的反惡意軟件應用程序的額外好處。
到目前為止,還沒有關於 Wslink 惡意軟件接收和執行的輔助模塊的信息。然而,從它直接將它們加載到系統內存中的能力來看,它的操作者很可能正計劃與其他高調植入物結合使用。好消息是,儘管 Wslink 惡意軟件具有高級加密和 AV 規避技術,但通過使用最新的防病毒軟件仍然可以輕鬆保護自己免受攻擊。