Gli esperti di sicurezza hanno scoperto malware in esecuzione nell'ambiente Windows Subsystem for Linux (WSL). Binario di Linux
Il problema è stato segnalato da esperti di Black Lotus Labs.parte della società di telecomunicazioni americana Lumen Technologies. Hanno trovato diversi file Python dannosi compilati nel binario Executable and Linkable Format (EFL) per Debian Linux.
Come funzionano questi virus?
Questi file fungevano da bootloader, avviando“payload”, che era incorporato nell'istanza stessa o proveniva da un server remoto e veniva quindi inserito nel processo in esecuzione utilizzando le chiamate API di Windows”, – Lo spiega Black Lotus Labs.
Nel 2017, più di un anno dopo il rilascioI ricercatori di WSL, Check Point hanno dimostrato un attacco sperimentale chiamato Bashware che consentiva di eseguire azioni dannose da eseguibili ELF ed EXE in un ambiente WSL. Ma WSL è disabilitato per impostazione predefinita e Windows 10 viene fornito senza distribuzioni Linux integrate, quindi la minaccia di Bashware non sembrava reale.
Tuttavia, quattro anni dopo accadde qualcosa di similescoperto "allo stato brado". Gli esperti di Black Lotus Labs hanno commentato che gli esempi di codice dannoso hanno una valutazione minima sul servizio VirusTotal, il che significa che la maggior parte dei programmi antivirus non li noteranno.
Maggiori dettagli
Due varianti del malignoprogrammi. Il primo è scritto in puro Python e il secondo utilizza inoltre una libreria per connettersi all'API di Windows ed eseguire uno script PowerShell. Gli esperti di Black Lotus Labs suggeriscono che nel secondo caso il modulo è ancora in fase di sviluppo, in quanto non funziona da solo.
Il campione ha anche rivelato un indirizzo IP (185.63.90 [.] 137), collegato a obiettivi in Ecuador e Francia, da cui le macchine infette hanno tentato di comunicare attraverso le porte 39000-48000 a fine giugno e inizio luglio. Si presume che il proprietario del malware abbia testato una VPN o un server proxy.
Fonte: registro, lumen
Illustrazioni: dominio pubblico CC0
</ p>