ESET araştırmacıları, Windows kodlarını hedef alan benzersiz ve daha önce belgelenmemiş bir zararlı keşfetti. Bu zararlı diğerlerinden farklı olarak bir sunucu gibi çalışıyor ve alınan modülleri bellekte yürütüyor. Wslink adı verilen bu zararlı yükleyici Orta Avrupa, Kuzey Amerika ve Ortadoğu’yu hedef alıyor.
Bir çeşit yükleyici olan zararlı yazılımın bu türü, etkilediği makinelere başka çalıştırılabilir dosyaları yüklüyor; kötü amaçlı bir kod parçası, program, olarak kullanılıyor. Zararlı yazılım doğrudan belleği hedefliyor. ESET geçtiğimiz iki yıl içerisinde telemetrisinde yalnızca birkaç tane Wslink örneği gördü. Tespit edilen örnekler Orta Avrupa, Kuzey Amerika ve Orta Doğu’da yer alıyor.
Wslink’i keşfeden ESET araştırmacısı Vladislav Hrčka konu ile ilgili şunları söyledi: “Wslink, basit ancak kayda değer bir yükleyici. Genellikle karşılaştığımız diğer yükleyicilerden farklı olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden ötürü bu yeni kötü amaçlı yazılıma Wslink adını verdik.”
Bu aracın bilinen bir tehdit aktörü grubundan olduğuna dair bir kod, işlev veya operasyonel benzerlik bulunmuyor. Ayrıca modülleri iletişim, anahtarlar ve soketler için yükleyici işlevlerini yeniden kullanıyor; dolayısıyla yeni giden bağlantıları başlatmaları gerekmiyor. Wslink, ele geçirilen verileri korumak için iyi geliştirilmiş bir kriptografik protokole de sahip.
Hrčka bu durumu şöyle açıklıyor: “Kötü amaçlı yazılım analizi konusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış işlevlerinin nasıl tekrar kullanılabileceğini ve bu işlevlerle nasıl etkileşime geçilebileceğini gösteriyor. Ayrıca analizimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak niteliğinde.” İstemci ile ilgili tam kaynak kodu, WslinkClient GitHub depomuzda mevcut.
Wslink hakkında daha fazla teknik ayrıntı için :
https://www.welivesecurity.com/2021/10/27/wslink-unique-undocumented-malicious-loader-runs-server/