ESET: תוכנה זדונית Wslink תוקפת במזרח התיכון, במרכז אירופה וצפון אמריקה
הטוען הוא קוד זדוני המשמש לטעינת קבצי אובייקט של קובץ הפעלה אחר על המחשב הנגוע, במקרה זה ישירות לזיכרון
עמי רוחקס דומבה
| 07/11/2021
bigstock
חוקרי חברת אבטחת המידע ESET זיהו טוען זדוני שטרם תועד בעבר אשר פועל כשרת וטוען קוד זדוני לתוך זיכרון המחשב.
הטוען הוא קוד זדוני המשמש לטעינת קבצי אובייקט של קובץ הפעלה אחר על המחשב הנגוע, במקרה זה ישירות לזיכרון. הדגימות שאותרו הגיעו בעיקר מהמזרח התיכון, צפון אמריקה ומרכז אירופה.
ולדיסלב הרצ'קה, חוקר ESET שגילה את המטעין הזדוני מציין כי "Wslink הינו מטעין פשוט אך יוצא דופן שבניגוד למה שאנו רואים בדרך כלל, פועל כשרת ומפעיל מודולים שהתקבלו בזיכרון. קראנו לנוזקה הזו Wslink על שם אחד מקבצי ה-DLL שלה".
שיטת תקיפה זו ייחודית ואין קוד, פונקציונליות או קווי דמיון המצביעים על כך שהנוזקה נוצרה בידי אחת מקבוצות התקיפה המוכרות.
בנוסף, המודולים עושים שימוש חוזר בפונקציות של הטוען עם ערוצי תקשורת קיימים, כלומר הם אינם צריכים ליזום חיבורים יוצאים חדשים, דבר המקשה על גילוי הנוזקה. Wslink כולל גם פרוטוקול קריפטוגרפי מתקדם כדי להגן על הנתונים שהוחלפו.
ב-ESET מציינים כי יצרו גרסה משלהם לנוזקה שעשויה לעניין מנתחים מתחילים של תוכנות זדוניות מכיוון שהיא מראה כיצד ניתן לעשות שימוש חוזר ולקיים אינטראקציה עם הפונקציות היוצאות של הטוען.
הניתוח משמש גם כמשאב אינפורמטיבי המתעד את האיום עבור מגיני וחוקרי הסייבר. קוד המקור המלא זמין במאגר ה-WslinkClient GitHub שלנו.
מידע נוסף והמאמר המלא, ניתן לקרוא כאן
הטוען הוא קוד זדוני המשמש לטעינת קבצי אובייקט של קובץ הפעלה אחר על המחשב הנגוע, במקרה זה ישירות לזיכרון
bigstock
חוקרי חברת אבטחת המידע ESET זיהו טוען זדוני שטרם תועד בעבר אשר פועל כשרת וטוען קוד זדוני לתוך זיכרון המחשב.
הטוען הוא קוד זדוני המשמש לטעינת קבצי אובייקט של קובץ הפעלה אחר על המחשב הנגוע, במקרה זה ישירות לזיכרון. הדגימות שאותרו הגיעו בעיקר מהמזרח התיכון, צפון אמריקה ומרכז אירופה.
ולדיסלב הרצ'קה, חוקר ESET שגילה את המטעין הזדוני מציין כי "Wslink הינו מטעין פשוט אך יוצא דופן שבניגוד למה שאנו רואים בדרך כלל, פועל כשרת ומפעיל מודולים שהתקבלו בזיכרון. קראנו לנוזקה הזו Wslink על שם אחד מקבצי ה-DLL שלה".
שיטת תקיפה זו ייחודית ואין קוד, פונקציונליות או קווי דמיון המצביעים על כך שהנוזקה נוצרה בידי אחת מקבוצות התקיפה המוכרות.
בנוסף, המודולים עושים שימוש חוזר בפונקציות של הטוען עם ערוצי תקשורת קיימים, כלומר הם אינם צריכים ליזום חיבורים יוצאים חדשים, דבר המקשה על גילוי הנוזקה. Wslink כולל גם פרוטוקול קריפטוגרפי מתקדם כדי להגן על הנתונים שהוחלפו.
ב-ESET מציינים כי יצרו גרסה משלהם לנוזקה שעשויה לעניין מנתחים מתחילים של תוכנות זדוניות מכיוון שהיא מראה כיצד ניתן לעשות שימוש חוזר ולקיים אינטראקציה עם הפונקציות היוצאות של הטוען.
הניתוח משמש גם כמשאב אינפורמטיבי המתעד את האיום עבור מגיני וחוקרי הסייבר. קוד המקור המלא זמין במאגר ה-WslinkClient GitHub שלנו.
מידע נוסף והמאמר המלא, ניתן לקרוא כאן
