Phát hiện trình tải mã độc Wslink chạy như một máy chủ trên Windows

Các chuyên gia an ninh mạng vào thứ tư đã tiết lộ về một trình tải (loader) mã độc “đơn giản nhưng đáng chú ý” dành cho các tập tin nhị phân độc hại của Windows nhắm vào khu vực trung Âu, Bắc Mỹ và Trung Đông.

Được đặt biệt danh “Wslink” bởi ESET, mã độc chưa từng được ghi nhận này khác biệt với các mã độc khác ở chỗ nó chạy như một máy chủ và thực thi các mô-đun nhận được ở trong bộ nhớ. Không có thông tin nào cụ thể về hướng tấn công ban đầu, và cũng không có đoạn code hay quy trình hoạt động nào liên kết mã độc này với các nhóm tin tặc đã được biết tới.

Công ty an ninh mạng của Slovakia cho biết rằng chỉ có một số lượng rất ít được phát hiện trong vòng 2 năm qua, điều này gợi ý rằng mã độc này có thể được sử dụng trong các cuộc xâm nhập nhắm vào các mục quan trọng.

Wslink được thiết kế để chạy như một dịch vụ và có thể nhận các tập tin thực thi (PE files) được mã hóa từ một địa chỉ IP cụ thể, sau đó được giải mã và tải vào bộ nhớ trước khi được thực thi. Để đạt được điều này, máy tính của nạn nhân và máy chủ thực hiện một giao thức bắt tay, bao gồm việc trao đổi các mã khóa cần thiết để mã hóa mô đun theo tiêu chuẩn AES.

 “Điểm thú vị là mô-đun này tái sử dụng chức năng của trình tải cho việc giao tiếp, mã hóa và sử dụng socket, do đó chúng không cần tạo ra các kết nối mới ra bên ngoài. Wslink còn có thêm một giao thức mã hóa được phát triển tốt để bảo vệ các dữ liệu được trao đổi”. chuyên gia của ESET Vladislav Hrčka cho hay.

Phát hiện này được công bố cùng lúc khi các chuyên gia từ Zscaler và Cisco Talos phát hiện một trình tải mã độc khác với tên gọi SQUIRRELWAFFLE được phát tán qua các mail rác nhằm thực hiện các cuộc tấn công Qakbot và Cobalt trên các máy tính bị xâm phạm.

Theo Thehackernews