Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert un loader (chargeur) de binaires Windows qui, contrairement aux autres chargeurs de ce type, fonctionne sous forme de serveur et exécute les modules reçus en mémoire. Un chargeur (programme) est un malware utilisé pour charger les fichiers objets d’un autre exécutable sur la machine infectée, dans ce cas directement dans la mémoire. ESET n’a détecté qu’une poignée d’échantillons de Wslink dans sa télémétrie au cours des deux dernières années, avec des occurrences en Europe centrale, en Amérique du Nord et au Moyen-Orient.
« Wslink est un chargeur simple mais remarquable, qui contrairement à ceux que nous voyons habituellement, fonctionne sous forme de serveur et exécute les modules reçus en mémoire, » explique Vladislav Hrčka, chercheur chez ESET qui a découvert Wslink. « Nous avons nommé ce nouveau malware Wslink d’après l’une de ses DLL, » ajoute M. Hrčka.
Il n’existe aucune similitude au niveau du code ou des fonctionnalités indiquant qu’il s’agit d’un outil utilisé par un groupe de pirates connu. Ses modules réutilisent par ailleurs les fonctions du chargeur pour la communication, les clés et les sockets. Ils n’ont donc pas besoin d’initier de nouvelles connexions sortantes. Wslink dispose également d’un protocole cryptographique pour protéger les données échangées.
« Nous avons implémenté notre propre version d’un client Wslink, qui pourrait intéresser des analystes débutants de malwares, car elle montre comment réutiliser les fonctions sortantes du chargeur et interagir avec elles. Notre analyse sert également de ressource informative pour documenter cette menace, à l’intention des experts en cybersécurité, » poursuit M. Hrčka. Le code source complet du client est disponible dans notre GitHub WslinkClient.
Pour plus de détails techniques sur Wslink, lisez l’article « Wslink: Unique and undocumented malicious loader that, remarkably, runs as a server » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.