Nuevo malware utiliza el subsistema de Windows para Linux para realizar ataques sigilosos
Investigadores de seguridad han descubierto binarios de Linux maliciosos creados para el Subsistema de Windows para Linux (WSL). Esto indica que los ciberdelincuentes están probando nuevos métodos para comprometer las máquinas de Windows.
El hallazgo subraya que los actores de amenazas están explorando nuevos métodos de ataque y están centrando su atención en WSL para evadir la detección.
Usar WSL para evitar la detección
Las primeras muestras dirigidas al entorno WSL se descubrieron a principios de mayo y continuaron apareciendo cada dos o tres semanas hasta el 22 de agosto. Actúan como cargadores para el entorno WSL y gozan de una detección muy baja en los servicios de análisis de archivos públicos.
En un informe de hoy, los investigadores de seguridad de Black Lotus Labs de Lumen dicen que los archivos maliciosos tienen el payload incorporado o la obtienen de un servidor remoto.
El siguiente paso es inyectar el malware en un proceso en ejecución mediante llamadas a la API de Windows, una técnica que no es nueva ni sofisticada.
De la pequeña cantidad de muestras identificadas, solo una tiene una dirección IP enrutable públicamente. Esto sugiere que los ciberdelincuentes están probando el uso de WSL para instalar malware en Windows.
Los archivos maliciosos se basan principalmente en Python 3 para realizar sus tareas y están empaquetados como un ejecutable ELF para Debian usando PyInstaller.
“Como sugiere la baja tasa de detección en VirusTotal, la mayoría de los agentes de endpoint diseñados para sistemas Windows no tienen firmas creadas para analizar archivos ELF. Sin embargo, con frecuencia detectan agentes que no son WSL con una funcionalidad similar”
Black Lotus Labs
Hace menos de un mes, uno de los archivos maliciosos de Linux fue detectado por un solo motor antivirus en VirusTotal. Actualizar el escaneo en otra muestra mostró que los motores del servicio de escaneo no lo detectaron por completo.