in

Nuevo malware apunta al subsistema de Windows para Linux para evitar ser detectado


Subsistema de Windows para Linux

Se han creado varios ejemplos maliciosos para el subsistema de Windows para Linux (WSL) con el fin de comprometer las computadoras con Windows.

La «forma de comercio única» marca la primera instancia en la que un actor de amenazas ha sido identificado por abusar de WSL para instalar cargas útiles posteriores.

«Estos archivos actuaron como cargadores que ejecutaban una carga útil que estaba incrustada en la muestra o recuperada de un servidor remoto y luego inyectada en un proceso en ejecución utilizando llamadas API de Windows», dijeron los investigadores de Lumen Black Lotus Labs en un informe publicado el jueves.

Introducido en agosto de 2016, el Subsistema de Windows para Linux es una capa de compatibilidad diseñada para ejecutar ejecutables binarios de Linux (en formato ELF) de forma nativa en la plataforma Windows sin la sobrecarga de una máquina virtual tradicional o configuraciones de arranque dual.

Subsistema de Windows para Linux

Los primeros artefactos datan del 3 de mayo de 2021, con una serie de binarios de Linux cargados cada dos o tres semanas hasta el 22 de agosto de 2021. Los ejemplos no solo se escriben en Python 3 y se convierten en un archivo ELF ejecutable usando PyInstaller, sino que los archivos también están orquestados para descargar shellcode desde un servidor de control y comando remoto y usar PowerShell para realizar actividades de seguimiento en el host infectado.

Prevenir filtraciones de datos

Esta carga útil secundaria «shellcode» se inyecta en un proceso de Windows en ejecución mediante llamadas a la API de Windows, a las que Lumen se refiere como «ejecución de archivos binarios de ELF a Windows», pero no antes de que el ejemplo intente apuntar a productos antivirus sospechosos y herramientas de análisis que se estén ejecutando. en la computadora. Además, el uso de bibliotecas estándar de Python hace que algunos de los sabores sean interoperables tanto en Windows como en Linux.

«Hasta ahora hemos identificado un número limitado de ejemplos con sólo una dirección IP públicamente enrutable, lo que sugiere que esta actividad tiene un alcance bastante limitado o que aún puede estar en desarrollo», dijeron los investigadores. «A medida que los límites que alguna vez fueron claros entre los sistemas operativos se vuelven cada vez más nebulosos, los actores de amenazas explotarán nuevas superficies de ataque».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Los sitios de publicidad de Viagra y pornografía del gobierno de EE. UU. Comparten un proveedor de software conjunto

Los 11 mejores iPad son sinónimo de mejor productividad