Кібердослідники виявили новий спосіб атаки шкідливого програмного забезпечення на Windows. Вперше комп’ютери з Windows атакують через вбудовані в неї Linux-компоненти.
Дослідники кібербезпеки випадково натрапили на новий і, можливо, унікальний вектор атаки для компрометації комп’ютерів Windows. Він включає шкідливі бінарні файли Linux, створені для підсистеми Windows для Linux (WSL).
Експерти з лабораторії Black Lotus Labs кажуть, що нещодавно виявили кілька шкідливих файлів, які були написані в основному на Python і скомпільовані в бінарному форматі Linux ELF для дистрибутива Debian.
«Хоча цей підхід не був особливо складним, новизна використання завантажувача ELF, розробленого для середовища WSL, дала методу коефіцієнт виявлення на рівні одного виявлення сервісом Virus Total, залежно від зразка, на момент написання цієї статті», – ділиться Black Lotus.
Дослідники додають, що на даний момент вони визначили лише обмежену кількість файлів. Це, можливо, вказує на те, що або діяльність обмежена масштабом, або, що більш тривожно, все ще знаходиться в стадії розробки.
Зловживання WSL
Black Lotus вважає, що це, мабуть, перший випадок, коли зловмисники зловживають WSL для запровадження шкідливих додатків в Windows.
Вперше шкідливі бінарні файли виявили на початку травня, і вони продовжували з’являтися кожні два-три тижні до 22 серпня.
Аналіз зразків показав, що код Python діяв як завантажувач і використовував різні API Windows для завантаження віддаленого файлу, а потім вставляв його в запущений процес.
Оскільки більшість антивірусів для систем Windows не мають сигнатур для аналізу файлів ELF, цей вектор атаки міг дозволити суб’єктам загрози заразити ціль без будь-якої протидії.
«Оскільки колись чіткі межі між операційними системами продовжують ставати все більш розмитими, зловмисники будуть використовувати переваги нових векторів атаки. Ми радимо юзерам, які включили WSL, забезпечити належне ведення журналу, щоб виявити цей тип загроз», – підсумовують дослідники.
За матеріалами сайту Techtoday