Експерти з безпеки виявили шкідливе програмне забезпечення, що працює в середовищі Windows Subsystem for Linux (WSL). Двійковий файл Linux
Про проблему повідомили експерти з Black Lotus Labs,входить до складу американської телекомунікаційної компанії Lumen Technologies. Вони виявили кілька шкідливих файлів Python, скомпільованих у двійковому форматі EFL (Executable and Linkable Format) для Debian Linux.
Як влаштовані такі віруси
Ці файли діяли як завантажувачі, запускаючи“корисне навантаження”, яке було або вбудоване в сам екземпляр, або надходило з віддаленого сервера і потім впроваджувалося в запущений процес за допомогою викликів Windows API”, – пояснюють у Black Lotus Labs.
У 2017 році, більш ніж за рік після випускуWSL, дослідники Check Point продемонстрували експериментальну атаку під назвою Bashware, яка дозволяла виконувати шкідливі дії з виконуваних файлів ELF і EXE серед WSL. Але WSL відключено за замовчуванням, а Windows 10 поставляється без вбудованих дистрибутивів Linux, тому загроза з боку Bashware не здавалася реальною.
Однак через чотири роки щось подібне буловиявлено “у дикій природі”. Експерти Black Lotus Labs прокоментували, що зразки шкідливого коду мають мінімальний рейтинг на сервісі VirusTotal, що означає, що більшість антивірусних програм їх пропустять.
Більше конкретики
Було виявлено два варіанти шкідливоїпрограми. Перший написаний на чистому Python, а другий додатково використовує бібліотеку для підключення до Windows API та запуску сценарію PowerShell. Експерти Black Lotus Labs припускають, що у другому випадку модуль все ще перебуває на стадії розробки, оскільки не працює самостійно.
Зразок також виявив IP-адресу (185.63.90 [.]137), пов'язаний з цілями в Еквадорі та Франції, з якого заражені машини намагалися встановити зв'язок через порти 39000-48000 наприкінці червня та на початку липня. Передбачається, що власник шкідливої програми тестував VPN або проксі-сервер.
Джерело: theregister, lumen
Ілюстрації: CC0 Public Domain
</ P>