Výskumníci v oblasti kybernetickej bezpečnosti v stredu odstránili „jednoduchý, no pozoruhodný“ zavádzač škodlivého softvéru Windows dvojhviezdy zamerané na strednú Európu, Severnú Ameriku a Blízky východ.
Tento predtým nezdokumentovaný malvér s kódovým označením „Wslink“ od spoločnosti ESET sa odlišuje od ostatných v tom, že beží ako server a spúšťa prijaté moduly v pamäti. Nie sú k dispozícii žiadne špecifiká týkajúce sa počiatočného vektora kompromisu a neexistujú žiadne kódové alebo prevádzkové presahy, ktoré by spájali tento nástroj so známou skupinou aktérov hrozieb.
Slovenská firma zaoberajúca sa kybernetickou bezpečnosťou poznamenala, že za posledné dva roky zaznamenala len niekoľko detekcií, čo naznačuje, že by mohla byť použitá pri vysoko cielených kybernetických infiltráciách.
Wslink je navrhnutý tak, aby fungoval ako služba a môže prijímať zašifrované spustiteľné súbory portálu (PE) zo špecifickej adresy IP, ktorá sa potom pred spustením dešifruje a načíta do pamäte. Aby sa to dosiahlo, klient (tj obeť) a server vykonajú nadviazanie spojenia, ktoré zahŕňa výmenu kryptografických kľúčov potrebných na šifrovanie modulov pomocou AES.
“Zaujímavé je, že moduly opätovne využívajú funkcie zavádzača na komunikáciu, kľúče a zásuvky, takže nemusia spúšťať nové odchádzajúce spojenia,” povedal výskumník spoločnosti ESET Vladislav Hrčka. “Wslink navyše obsahuje dobre vyvinutý kryptografický protokol na ochranu vymieňaných údajov.”
Zistenia prichádzajú, keď výskumníci zo Zscaler a Cisco Talos odhalili ďalší nakladač malvéru s názvom SQUIRRELWAFFLE, ktorý je distribuovaný prostredníctvom spamových e-mailových kampaní na nasadenie Qakbot a Cobalt Strike na kompromitovaných systémoch.
