Компанія ESET виявила унікальний завантажувач для двійкових файлів Windows

Компанія ESET виявила унікальний завантажувач для двійкових файлів Windows, який працює як сервер. Згідно з даними телеметрії ESET, за останні два роки в Центральній Європі, Північній Америці та на Близькому Сході було зафіксовано кілька зразків Wslink.

Слід зазначити, що завантажувач - це шкідливий код (програма), який використовується для завантаження інших виконуваних файлів на заражений пристрій, в даному випадку безпосередньо в пам'ять.

"Wslink - це простий, але цікавий завантажувач, який, на відміну від інших, працює як сервер і виконує отримані модулі в пам'яті ", - коментує дослідник ESET. " Це нове шкідливе програмне забезпечення отримало назву Wslink через одну з його бібліотек DLL".

Відсутність подібності в коді, функціональності або поведінці не дозволяє пов'язувати інструмент з відомими групами кіберзлочинців. Крім того, його модулі повторно використовують функції завантажувача для з'єднань, клавіш і сокетів, тому їм не потрібно створювати нові оригінальні з'єднання. Wslink також має високоякісний криптографічний протокол захисту даних для обміну.

«Ми впровадили власну версію клієнта Wslink, яка показує можливість повторного використання і взаємодії з існуючими функціями завантажувача. Наш аналіз корисний тим, що інформує фахівців з кібербезпеки про цю загрозу», - пояснює дослідник ESET.

Повний вихідний код клієнта доступний у репозиторії WslinkClient на GitHub