Especialistas em segurança descobriram malware em execução no ambiente Windows Subsystem for Linux (WSL). Binário Linux
O problema foi relatado por especialistas da Black Lotus Labs.parte da empresa americana de telecomunicações Lumen Technologies. Eles encontraram vários arquivos Python maliciosos compilados no binário Executable and Linkable Format (EFL) para Debian Linux.
Como funcionam esses vírus?
Esses arquivos atuaram como bootloaders, iniciando“carga útil”, que foi incorporada na própria instância ou veio de um servidor remoto e foi injetada no processo em execução usando chamadas de API do Windows”, – Black Lotus Labs explica.
Em 2017, mais de um ano após o lançamentoOs pesquisadores do WSL e da Check Point demonstraram um ataque experimental chamado Bashware, que permitia que ações maliciosas fossem realizadas a partir de executáveis ELF e EXE em um ambiente WSL. Mas o WSL é desabilitado por padrão e o Windows 10 não vem com nenhuma distribuição Linux embutida, então a ameaça do Bashware não parecia real.
No entanto, quatro anos depois, algo semelhante aconteceudescoberto “na natureza”. Especialistas do Black Lotus Labs comentaram que as amostras de código malicioso têm uma classificação mínima no serviço VirusTotal, o que significa que a maioria dos programas antivírus não as detectará.
Mais especificidades
Duas variantes do maliciosoprogramas. O primeiro é escrito em Python puro e o segundo usa adicionalmente uma biblioteca para se conectar à API do Windows e executar um script do PowerShell. Os especialistas do Black Lotus Labs sugerem que, no segundo caso, o módulo ainda está em desenvolvimento, pois não funciona por conta própria.
A amostra também revelou um endereço IP (185,63,90 [.] 137), vinculado a alvos no Equador e na França, a partir dos quais máquinas infectadas tentaram se comunicar através das portas 39000-48000 no final de junho e início de julho. Presume-se que o proprietário do malware testou uma VPN ou servidor proxy.
Fonte: theregister, lúmen
Ilustrações: Domínio Público CC0
</ p>