Wslink — новий шкідливий завантажувач, який працює як сервер

28 октябрь, 2021 - 09:25

Wslink - новий шкідливий завантажувач, який працює як сервер

Компанія ESET повідомила, що її спеціалісти виявили унікального завантажувача для бінарних файлів Windows, який працює як сервер.

Відповідно до даних телеметрії ESET, за останні два роки було зафіксовано кілька зразків Wslink у Центральній Європі, Північній Америці та на Близькому Сході.

Варто зазначити, що завантажувач - це шкідливий код (програма), який використовується для завантаження інших виконуваних файлів на інфікований пристрій, у цьому випадку ― безпосередньо у пам’ять.

«Wslink ― це простий, але цікавий завантажувач, який на відміну від інших, працює як сервер та виконує отримані модулі в пам'яті, ― коментує Владислав Грчка, дослідник ESET. ― Це нове шкідливе програмне забезпечення отримало назву Wslink через одну зі своїх DLL».

Дослідники ESET розкрили можливості Wslink та інформували спеціалістів з кібербезпеки.
Відсутність подібностей коду, функціоналу або поведінки не дозволяють пов’язати інструмент із відомими групами кіберзлочинців. Крім того, його модулі повторно використовують функції завантажувача для з'єднання, ключів та сокетів, тому їм не потрібно створювати нові вихідні з'єднання. Wslink також має якісно розроблений криптографічний протокол для захисту даних для обміну.

«Ми реалізували власну версію клієнта Wslink, яка показує можливість повторного використання існуючих функцій завантажувача та взаємодії з ними. Наш аналіз є корисним тим, що інформує про цю загрозу спеціалістів з кібербезпеки», – пояснює дослідник ESET.

Повний вихідний код клієнта доступний у репозиторії WslinkClient на GitHub.