Wslink Malware

Un logiciel malveillant de chargement jusqu'alors inconnu a été détecté par les chercheurs. Selon leurs conclusions, la menace nommée Wslink malware n'a aucun lien avec aucun des groupes de cybercriminels établis. En effet, il n'y avait pas de chevauchements significatifs dans le code, les fonctionnalités ou les caractéristiques opérationnelles. Jusqu'à présent, la menace a été déployée dans un nombre limité d'attaques, les victimes étant situées en Europe centrale, en Amérique du Nord et au Moyen-Orient.

Détails de Wslink

Dans l'ensemble, le chargeur n'est pas trop complexe ou sophistiqué. Cependant,il présente une capacité assez unique d'agir en tant que serveur. Il s'exécute en tant que service sur les systèmes compromis, puis écoute toutes les interfaces réseau sur un port spécifiéen continu. Le malware établit une connexion et utilise un système de cryptage robuste pour protéger les données échangées.

Wslink recevra alors les modules corrompus de l'étape suivante, qu'il exécute en mémoire. Les modules entrants réutilisent une grande partie des fonctions déjà présentes dans le chargeur, telles que celles responsables de la communication, des clés et des sockets. Cette technique permet aux implants menaçants d'éviter la nécessité d'établir de nouvelles connexions sortantes.

Conclusion

Malgré sa relative simplicité, le logiciel malveillant Wslink est un chargeur efficace qui peut accomplir les tâches nuisibles pour lesquelles il a été créé. L'absence de similitudes entre la menace et les outils malveillants des groupes APT (Advanced Persistent Threat) actuellement connus pourrait indiquer l'existence d'un acteur de menace encore inconnu.