Компанія ESET ― лідер у галузі інформаційної безпеки ―повідомляє про виявлення унікального завантажувача для бінарних файлів Windows, який працює як сервер. Відповідно до даних телеметрії ESET, за останні два роки було зафіксовано кілька зразків Wslink у Центральній Європі, Північній Америці та на Близькому Сході.
Варто зазначити, що завантажувач ― це шкідливий код (програма), який використовується для завантаження інших виконуваних файлів на інфікований пристрій, у цьому випадку ― безпосередньо у пам’ять.
«Wslink ― це простий, але цікавий завантажувач, який на відміну від інших, працює як сервер та виконує отримані модулі в пам'яті, ― коментує Владислав Грчка, дослідник ESET. ― Це нове шкідливе програмне забезпечення отримало назву Wslink через одну зі своїх DLL».
Відсутність подібностей коду, функціоналу або поведінки не дозволяють пов’язати інструмент із відомими групами кіберзлочинців. Крім того, його модулі повторно використовують функції завантажувача для з'єднання, ключів та сокетів, тому їм не потрібно створювати нові вихідні з'єднання. Wslink також має якісно розроблений криптографічний протокол для захисту даних для обміну.
«Ми реалізували власну версію клієнта Wslink, яка показує можливість повторного використання існуючих функцій завантажувача та взаємодії з ними. Наш аналіз є корисним тим, що інформує про цю загрозу спеціалістів з кібербезпеки», – пояснює дослідник ESET.
Повний вихідний код клієнта доступний у репозиторії WslinkClient на GitHub.
Більш детальну інформацію про завантажувач Wslink читайте за посиланням.
Читайте також:
Рейтинг Інтернет-загроз: найактивніші шкідливі програми у травні-серпні 2021
Небезпечні програми-вимагачі атакують: як не стати наступною жертвою
Нова версія продуктів ESET для Windows — потужний захист та сучасне управління