Novo malware usa Windows Subsystem para Linux para ataques

WSL da Microsoft tem novo aplicativo de configurações
wsl

A sofisticação dos cibercriminosos é cada vez maior em todo o planeta, com novas formas de ataques sendo utilizadas a cada instante. O foco, quase sempre, são os sistemas líderes entre usuários, como Windows e Android. Porém, eles agora resolveram partir também para cima do Linux. A mais nova ameaça é um malware que usa não apenas o sistema operacional da Microsoft mas também o Windows Subsystem para Linux para tentar ser bem sucedido nos ataques.

Os pesquisadores de segurança descobriram um novo tipo de malware que faz uso do Windows Subsystem for Linux como forma de atacar furtivamente os sistemas.

Os ataques podem ser executados usando binários Linux maliciosos usando uma técnica que antes era apenas uma prova de conceito teórica. O novo vetor de ataque foi descoberto por pesquisadores da Black Lotus Labs que o descrevem como “a primeira instância de um ator abusando de WSL para instalar cargas úteis subsequentes”.

Novo malware usa Windows Subsystem para Linux para ataques

Novo malware usa Windows Subsystem para Linux para ataques

A técnica envolve o uso de arquivos maliciosos para entregar a carga útil e, em seguida, injetar malware usando chamadas de API do Windows.

Em uma postagem complicada, os pesquisadores explicam: “O Black Lotus Labs identificou recentemente vários arquivos maliciosos que foram escritos principalmente em Python e compilados no formato binário Linux ELF (Executable and Linkable Format) para o sistema operacional Debian”.

Eles continuam:

Esses arquivos agiram como carregadores executando uma carga útil que foi incorporada à amostra ou recuperada de um servidor remoto e, então, injetada em um processo em execução usando chamadas de API do Windows. Embora essa abordagem não fosse particularmente sofisticada, a novidade de usar um carregador ELF projetado para o ambiente WSL deu à técnica uma taxa de detecção de um ou zero no Virus Total, dependendo da amostra, no momento da redação deste artigo.

Cibercriminosos usam Python

Os pesquisadores realmente descobriram duas pequenas variantes da abordagem do carregador ELF. Enquanto o primeiro envolveu Python puro, o segundo usa Python para chamar várias APIs do Windows usando ctypes e invocar um script do PowerShell. A teoria é que a variante do PowerShell ainda está em pesquisa e desenvolvimento.

O que é particularmente preocupante sobre o uso do subsistema Windows para Linux é que ele torna muito fácil esses ataques passarem despercebidos e passar despercebidos. Os pesquisadores de segurança apontam:

Como sugere a taxa de detecção insignificante no VirusTotal, a maioria dos agentes de endpoint projetados para sistemas Windows não tem assinaturas criadas para analisar arquivos ELF, embora freqüentemente detectem agentes não WSL com funcionalidade semelhante.

Mais detalhes sobre esse tipo de ataque podem ser encontrados na postagem do blog do Black Lotus Labs.