Wslink-Malware

Eine bisher unbekannte Loader-Malware wurde von Forschern entdeckt. Den Erkenntnissen zufolge hat die Bedrohung namens Wslink-Malware keine Verbindung zu einer der etablierten cyberkriminellen Gruppen. Tatsächlich gab es keine bedeutsamen Überschneidungen in Code, Funktionalität oder Betriebseigenschaften. Bisher wurde die Bedrohung bei einer begrenzten Anzahl von Angriffen eingesetzt, wobei sich die Opfer in Mitteleuropa, Nordamerika und im Nahen Osten befinden.

Wslink-Details

Insgesamt ist der Loader nicht übermäßig komplex oder anspruchsvoll. Jedoch,es verfügt über eine ziemlich einzigartige Fähigkeit, als Server zu fungieren. Es läuft als Dienst auf den kompromittierten Systemen und lauscht dann ständig auf allen Netzwerkschnittstellen an einem bestimmten Port. Die Malware stellt eine Verbindung her und verwendet ein robustes Verschlüsselungssystem, um die ausgetauschten Daten zu schützen.

Wslink empfängt dann die beschädigten Module der nächsten Stufe, die es im Speicher ausführt. Die ankommenden Module verwenden viele der bereits im Loader vorhandenen Funktionen wieder, wie zum Beispiel die für Kommunikation, Schlüssel und Steckdosen. Diese Technik ermöglicht es den bedrohlichen Implantaten, die Notwendigkeit zu vermeiden, neue ausgehende Verbindungen herzustellen.

Abschluss

Trotz ihrer relativen Einfachheit ist die Wslink-Malware ein effektiver Loader, der die schädlichen Aufgaben erfüllen kann, für die sie entwickelt wurde. Das Fehlen von Ähnlichkeiten zwischen der Bedrohung und den Malware-Tools der derzeit bekannten APT-Gruppen (Advanced Persistent Threat) könnte auf die Existenz eines noch unbekannten Bedrohungsakteurs hinweisen.