Nuevo malware apunta al subsistema de Windows para Linux para evitar ser detectado
Se han creado varios ejemplos maliciosos para el subsistema de Windows para Linux (WSL) con el fin de comprometer las computadoras con Windows.
La «forma de comercio única» marca la primera instancia en la que un actor de amenazas ha sido identificado por abusar de WSL para instalar cargas útiles posteriores.
«Estos archivos actuaron como cargadores que ejecutaban una carga útil que estaba incrustada en la muestra o recuperada de un servidor remoto y luego inyectada en un proceso en ejecución utilizando llamadas API de Windows», dijeron los investigadores de Lumen Black Lotus Labs en un informe publicado el jueves.
Introducido en agosto de 2016, el Subsistema de Windows para Linux es una capa de compatibilidad diseñada para ejecutar ejecutables binarios de Linux (en formato ELF) de forma nativa en la plataforma Windows sin la sobrecarga de una máquina virtual tradicional o configuraciones de arranque dual.
Los primeros artefactos datan del 3 de mayo de 2021, con una serie de binarios de Linux cargados cada dos o tres semanas hasta el 22 de agosto de 2021. Los ejemplos no solo se escriben en Python 3 y se convierten en un archivo ELF ejecutable usando PyInstaller, sino que los archivos también están orquestados para descargar shellcode desde un servidor de control y comando remoto y usar PowerShell para realizar actividades de seguimiento en el host infectado.
Esta carga útil secundaria «shellcode» se inyecta en un proceso de Windows en ejecución mediante llamadas a la API de Windows, a las que Lumen se refiere como «ejecución de archivos binarios de ELF a Windows», pero no antes de que el ejemplo intente apuntar a productos antivirus sospechosos y herramientas de análisis que se estén ejecutando. en la computadora. Además, el uso de bibliotecas estándar de Python hace que algunos de los sabores sean interoperables tanto en Windows como en Linux.
«Hasta ahora hemos identificado un número limitado de ejemplos con sólo una dirección IP públicamente enrutable, lo que sugiere que esta actividad tiene un alcance bastante limitado o que aún puede estar en desarrollo», dijeron los investigadores. «A medida que los límites que alguna vez fueron claros entre los sistemas operativos se vuelven cada vez más nebulosos, los actores de amenazas explotarán nuevas superficies de ataque».
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
