תוכנה זדונית Wslink תוקפת במזרח התיכון, במרכז אירופה ובצפון אמריקה
מאת:
מערכת Telecom News, 4.11.21, 14:10
מדובר בטוען זדוני, שטרם תועד בעבר, שפועל כשרת וטוען קוד זדוני לתוך זיכרון המחשב.
חוקרי חברת אבטחת המידע
ESET זיהו טוען זדוני, שטרם תועד בעבר, שפועל כשרת וטוען קוד זדוני לתוך זיכרון המחשב.
טוען הוא קוד זדוני המשמש לטעינת קבצי אובייקט של קובץ הפעלה אחר על המחשב הנגוע, במקרה זה ישירות לזיכרון. הדגימות שאותרו הגיעו בעיקר מהמזרח התיכון, צפון אמריקה ומרכז אירופה.
ולדיסלב הרצ'קה, חוקר
ESET, שגילה את המטעין הזדוני: "
Wslink הוא מטעין פשוט אך יוצא דופן, שבניגוד למה שאנו רואים בד"כ, פועל כשרת ומפעיל מודולים, שהתקבלו בזיכרון. קראנו לנוזקה הזו
Wslink על שם אחד מקבצי ה-
DLL שלה".
שיטת תקיפה זו היא ייחודית ואין קוד, פונקציונליות או קווי דמיון המצביעים על כך, שהנוזקה נוצרה בידי אחת מקבוצות התקיפה המוכרות.
בנוסף, המודולים עושים שימוש חוזר בפונקציות של הטוען עם ערוצי תקשורת קיימים. כלומר, הם אינם צריכים ליזום חיבורים יוצאים חדשים, דבר המקשה על גילוי הנוזקה.
Wslink כולל גם פרוטוקול קריפטוגרפי מתקדם כדי להגן על הנתונים שהוחלפו.
בחברה מציינים, שיצרו גרסה משלהם לנוזקה, שעשויה לעניין מנתחים מתחילים של תוכנות זדוניות, מכיוון שהיא מראה כיצד ניתן לעשות שימוש חוזר ולקיים אינטראקציה עם הפונקציות היוצאות של הטוען.
הניתוח משמש גם כמשאב אינפורמטיבי המתעד את האיום עבור מגיני וחוקרי הסייבר. קוד המקור המלא זמין במאגר ה-
WslinkClient GitHub של החברה.
המחקר המלא -
כאן.
