Scoperto Wslink, un nuovo malware che prende di mira l'Europa centrale, il Nord America e il Medio Oriente
Mercoledì i ricercatori della sicurezza informatica hanno svelato un caricatore di malware "semplice ma straordinario" per binari dannosi di Windows destinati all'Europa centrale, al Nord America e al Medio Oriente.
Nome in codice " Wslink " da ESET, questo malware precedentemente non documentato si distingue dal resto in quanto viene eseguito come server ed esegue i moduli ricevuti in memoria. Non sono disponibili specifiche sul vettore di compromissione iniziale e non sono presenti codici o sovrapposizioni operative che leghino questo strumento a un gruppo di attori di minacce noti.
L'azienda slovacca di sicurezza informatica ha notato di aver visto solo una manciata di rilevamenti negli ultimi due anni, il che suggerisce che potrebbe essere utilizzato in infiltrazioni informatiche altamente mirate.
Wslink è progettato per essere eseguito come servizio e può accettare file eseguibili (PE) del portale crittografati da un indirizzo IP specifico, che viene quindi decrittografato e caricato in memoria prima dell'esecuzione. Per ottenere ciò, il client (ovvero la vittima) e il server eseguono una stretta di mano che prevede lo scambio delle chiavi crittografiche necessarie per crittografare i moduli utilizzando AES.
"È interessante notare che i moduli riutilizzano le funzioni del caricatore per la comunicazione, le chiavi e le prese; quindi non devono avviare nuove connessioni in uscita", ha affermato il ricercatore ESET Vladislav Hrčka. "Wslink dispone inoltre di un protocollo crittografico ben sviluppato per proteggere i dati scambiati".
I risultati arrivano quando i ricercatori di Zscaler e Cisco Talos hanno rivelato un altro caricatore di malware chiamato SQUIRRELWAFFLE che viene distribuito tramite campagne e-mail di spam per distribuire Qakbot e Cobalt Strike su sistemi compromessi.
Nome in codice " Wslink " da ESET, questo malware precedentemente non documentato si distingue dal resto in quanto viene eseguito come server ed esegue i moduli ricevuti in memoria. Non sono disponibili specifiche sul vettore di compromissione iniziale e non sono presenti codici o sovrapposizioni operative che leghino questo strumento a un gruppo di attori di minacce noti.
L'azienda slovacca di sicurezza informatica ha notato di aver visto solo una manciata di rilevamenti negli ultimi due anni, il che suggerisce che potrebbe essere utilizzato in infiltrazioni informatiche altamente mirate.
Wslink è progettato per essere eseguito come servizio e può accettare file eseguibili (PE) del portale crittografati da un indirizzo IP specifico, che viene quindi decrittografato e caricato in memoria prima dell'esecuzione. Per ottenere ciò, il client (ovvero la vittima) e il server eseguono una stretta di mano che prevede lo scambio delle chiavi crittografiche necessarie per crittografare i moduli utilizzando AES.
"È interessante notare che i moduli riutilizzano le funzioni del caricatore per la comunicazione, le chiavi e le prese; quindi non devono avviare nuove connessioni in uscita", ha affermato il ricercatore ESET Vladislav Hrčka. "Wslink dispone inoltre di un protocollo crittografico ben sviluppato per proteggere i dati scambiati".
I risultati arrivano quando i ricercatori di Zscaler e Cisco Talos hanno rivelato un altro caricatore di malware chiamato SQUIRRELWAFFLE che viene distribuito tramite campagne e-mail di spam per distribuire Qakbot e Cobalt Strike su sistemi compromessi.
Commenti
Posta un commento