ESET знайшов унікальний завантажувач для бінарних файлів Windows
Компанія ESET виявила унікальний завантажувач для двійкових файлів Windows
Компанія ESET виявила унікальний завантажувач для двійкових файлів Windows, який працює як сервер. Згідно з даними телеметрії ESET, за останні два роки в Центральній Європі, Північній Америці та на Близькому Сході було зафіксовано кілька зразків Wslink.
Слід зазначити, що завантажувач - це шкідливий код (програма), який використовується для завантаження інших виконуваних файлів на заражений пристрій, в даному випадку безпосередньо в пам'ять.
"Wslink - це простий, але цікавий завантажувач, який, на відміну від інших, працює як сервер і виконує отримані модулі в пам'яті ", - коментує дослідник ESET. " Це нове шкідливе програмне забезпечення отримало назву Wslink через одну з його бібліотек DLL".
Відсутність подібності в коді, функціональності або поведінці не дозволяє пов'язувати інструмент з відомими групами кіберзлочинців. Крім того, його модулі повторно використовують функції завантажувача для з'єднань, клавіш і сокетів, тому їм не потрібно створювати нові оригінальні з'єднання. Wslink також має високоякісний криптографічний протокол захисту даних для обміну.
«Ми впровадили власну версію клієнта Wslink, яка показує можливість повторного використання і взаємодії з існуючими функціями завантажувача. Наш аналіз корисний тим, що інформує фахівців з кібербезпеки про цю загрозу», - пояснює дослідник ESET.
Повний вихідний код клієнта доступний у репозиторії WslinkClient на GitHub