ESET חשפה נוזקה הפועלת כשרת

Wslink תוקפת במזרח התיכון, במרכז אירופה וצפון אמריקה, כך לפי גילוי חדש של חוקרי חברת אבטחת הסייבר

חשפה מטעין פשוט, אך למרות זאת יוצא דופן. ESET.

זוהה טוען זדוני, שלא תועד בעבר, אשר פועל כשרת וטוען קוד זדוני לתוך זיכרון המחשב. על פי חוקרי  ESET, הנוזקה משמשת לטעינת קבצי אובייקט של קובץ הפעלה אחר על המחשב הנגוע, במקרה זה – ישירות לזיכרון. הדגימות של הנוזקה – שזכתה לכינוי Wslink – אותרו בעיקר מהמזרח התיכון, צפון אמריקה ומרכז אירופה.

לדברי ולדיסלב הרצ'קה, חוקר ESET שגילה את המטעין הזדוני, "Wslink הינו מטעין פשוט, אך למרות זאת הוא יוצא דופן. בניגוד למה שאנו רואים בדרך כלל, הוא פועל כמו שרת ומפעיל מודולים שהתקבלו בזיכרון. קראנו לנוזקה הזו Wslink על שם אחד מקבצי ה-DDL שלה".

לדברי החוקרים, "שיטת תקיפה זו היא ייחודית ואין בה קוד, פונקציונליות, או קווי דמיון המצביעים על כך שהנוזקה נוצרה בידי אחת מקבוצות התקיפה המוכרות". בנוסף, ציינו חוקרי ESET, "המודולים עושים שימוש חוזר בפונקציות של הטוען, עם ערוצי תקשורת קיימים. כלומר, הם אינם צריכים ליזום חיבורים יוצאים חדשים, דבר המקשה על גילוי הנוזק. היא אף כוללת פרוטוקול קריפטוגרפי מתקדם, כדי להגן על הנתונים שהוחלפו".

החוקרים אמרו כי הם יצרו גרסה משלהם לנוזקה, אשר עשויה לעניין מנתחים מתחילים של תוכנות זדוניות, "מכיוון שהיא מראה כיצד ניתן לעשות שימוש חוזר ולקיים אינטראקציה עם הפונקציות היוצאות של הטוען".

קוד המקור המלא זמין במאגר WslinkClient GitHub של ESET.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים