Los expertos en seguridad han descubierto malware que se ejecuta en el entorno del Subsistema de Windows para Linux (WSL). binario de linux
El problema fue informado por expertos de Black Lotus Labs.parte de la empresa estadounidense de telecomunicaciones Lumen Technologies. Encontraron varios archivos Python maliciosos compilados en el binario Executable and Linkable Format (EFL) para Debian Linux.
¿Cómo funcionan estos virus?
Estos archivos actuaron como cargadores de arranque, iniciando“carga útil”, que estaba integrada en la propia instancia o procedía de un servidor remoto y luego se inyectaba en el proceso en ejecución mediante llamadas a la API de Windows”, – Laboratorios Black Lotus explica.
En 2017, más de un año después del lanzamientoLos investigadores de WSL, Check Point demostraron un ataque experimental llamado Bashware que permitía realizar acciones maliciosas desde ejecutables ELF y EXE en un entorno WSL. Pero WSL está deshabilitado de forma predeterminada y Windows 10 viene sin distribuciones de Linux integradas, por lo que la amenaza de Bashware no parecía real.
Sin embargo, cuatro años después sucedió algo similar.descubierto “en la naturaleza”. Los expertos de Black Lotus Labs comentaron que los ejemplos de códigos maliciosos tienen una calificación mínima en el servicio VirusTotal, lo que significa que la mayoría de los programas antivirus los pasarán por alto.
Más detalles
Dos variantes de lo maliciosoprogramas. El primero está escrito en Python puro y el segundo, además, utiliza una biblioteca para conectarse a la API de Windows y ejecutar un script de PowerShell. Los expertos de Black Lotus Labs sugieren que en el segundo caso, el módulo aún está en desarrollo, ya que no funciona por sí solo.
Образец также выявил IP-адрес (185.63.90[.] 137), vinculado a objetivos en Ecuador y Francia, desde los cuales las máquinas infectadas intentaron comunicarse a través de los puertos 39000-48000 a fines de junio y principios de julio. Se supone que el propietario del malware ha probado una VPN o un servidor proxy.
Fuente: registro, lumen.
Ilustraciones: CC0 Dominio público
</ p>