Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET Research descubre Wslink

Un nuevo loader malicioso

[01/11/2021] Los investigadores de ESET han descubierto un loader de binarios de Windows único y hasta ahora no documentado que, a diferencia de otros loaders de este tipo, se ejecuta como un servidor y ejecuta los módulos recibidos en la memoria. Un loader es un código malicioso (un programa) utilizado para cargar los archivos objeto de otro ejecutable en la máquina infectada, en este caso directamente en la memoria.ESET solo ha visto un puñado de muestras de Wslink en su telemetría en los últimos dos años, con detecciones en Europa Central, Norteamérica y Oriente Medio.

"Wslink es un loader simple pero notable que, a diferencia de los que solemos ver, se ejecuta como un servidor y ejecuta los módulos recibidos en la memoria", señaló el investigador de ESET Vladislav Hrcka, que descubrió Wslink. "Hemos llamado a este nuevo malware Wslink por una de sus DLL", añadió.

No hay similitudes en el código, agregó el investigador, la funcionalidad o el funcionamiento que sugieran que es probable que se trate de una herramienta de un grupo de actores de amenazas conocido. Además, sus módulos reutilizan las funciones del loader para la comunicación, las claves y los sockets, por lo que no tienen que iniciar nuevas conexiones salientes. Wslink también cuenta con un protocolo criptográfico bien desarrollado para proteger los datos intercambiados.

"Hemos implementado nuestra propia versión de un cliente Wslink, que podría ser de interés para los principiantes en el análisis de malware, ya que muestra cómo se pueden reutilizar e interactuar con las funciones de salida del loader. Nuestro análisis también sirve como recurso informativo que documenta esta amenaza para los defensores de la ciberseguridad", explicó Hrcka. El código fuente completo del cliente está disponible en su repositorio GitHub de WslinkClient.