Un nouveau logiciel malveillant cible le sous-système Windows pour Linux pour échapper à la détection
Un certain nombre d’échantillons malveillants ont été créés pour le sous-système Windows pour Linux (WSL) dans le but de compromettre les machines Windows, mettant en évidence une méthode sournoise qui permet aux opérateurs de rester sous le radar et de contrecarrer la détection par les moteurs anti-malware populaires.
Le « métier commercial distinct » marque le premier cas où un acteur malveillant a été trouvé en train d’abuser de WSL pour installer des charges utiles ultérieures.
« Ces fichiers agissaient comme des chargeurs exécutant une charge utile qui était soit intégrée à l’échantillon, soit récupérée à partir d’un serveur distant, puis injectée dans un processus en cours à l’aide d’appels d’API Windows », ont déclaré des chercheurs de Lumen Black Lotus Labs dans un rapport publié jeudi.
Lire aussi : Les attaques de phishing ont coutés des millions de dollars aux entreprises américaines.
Le sous-système Windows pour Linux, lancé en août 2016, est une couche de compatibilité conçue pour exécuter des exécutables binaires Linux (au format ELF) de manière native sur la plate-forme Windows sans la surcharge d’une machine virtuelle traditionnelle ou d’une configuration à double amorçage.
Les premiers artefacts remontent au 3 mai 2021, avec une série de binaires Linux téléchargés toutes les deux à trois semaines jusqu’au 22 août 2021. Non seulement les échantillons sont écrits en Python 3 et convertis en un exécutable ELF avec PyInstaller, mais les fichiers sont également orchestrés pour télécharger le shellcode à partir d’un serveur de commande et de contrôle distant et utiliser PowerShell pour effectuer des activités de suivi sur l’hôte infecté.
Lire aussi : Comment choisir la Cyber-protection adaptée à vos besoins ?
Cette charge utile « shellcode » secondaire est ensuite injectée dans un processus Windows en cours d’exécution à l’aide d’appels d’API Windows pour ce que Lumen a décrit comme « l’exécution de fichier binaire ELF vers Windows », mais pas avant que l’échantillon ne tente de mettre fin aux produits antivirus et outils d’analyse suspects en cours d’exécution sur la machine. . De plus, l’utilisation de bibliothèques Python standard rend certaines des variantes interopérables sur Windows et Linux.
Lire aussi : Trojan Cheval de Troie nouvellement détecter.
« Jusqu’à présent, nous avons identifié un nombre limité d’échantillons avec une seule adresse IP publiquement routable, indiquant que cette activité a une portée assez limitée ou potentiellement encore en développement », ont déclaré les chercheurs. « Alors que les frontières autrefois distinctes entre les systèmes d’exploitation deviennent de plus en plus nébuleuses, les acteurs de la menace tireront parti de nouvelles surfaces d’attaque. »
