Кібердослідники обнаружили новый способ атаки вредоносного программного обеспечения на Windows. Впервые компьютеры с Windows атакуют через встроенные в нее Linux-компоненты.
Исследователи кибербезопасности случайно наткнулись на новый и, возможно, уникальный вектор атаки для компрометации компьютеров Windows. Он включает вредоносные бинарные файлы Linux, созданные для подсистемы Windows для Linux (WSL).
Эксперты из лаборатории Black Lotus Labs говорят, что недавно обнаружили несколько вредоносных файлов, которые были написаны в основном на Python и скомпилированы в бинарном формате Linux ELF для дистрибутива Debian.
«Хотя этот подход не был особенно сложным, новизна использования загрузчика ELF, разработанного для среды WSL, дала метода коэффициент обнаружения на уровне одного выявление сервисом Virus Total, в зависимости от образца, на момент написания этой статьи», — делится Black Lotus.
Исследователи добавляют, что на данный момент они определили только ограниченное количество файлов. Это, возможно, указывает на то, что либо деятельность ограничена масштабом, либо, что более тревожно, все еще находится в стадии разработки.
Злоупотребление WSL
Black Lotus считает, что это, пожалуй, первый случай, когда злоумышленники злоупотребляют WSL для внедрения вредоносных приложений в Windows.
Впервые вредные бинарные файлы обнаружили в начале мая, и они продолжали появляться каждые две-три недели до 22 августа.
Анализ образцов показал, что код Python действовал как загрузчик и использовал различные API Windows для загрузки удаленного файла, а затем вставлял его в запущенный процесс.
Поскольку большинство антивирусов для систем Windows не имеют сигнатур для анализа файлов ELF, этот вектор атаки мог позволить субъектам угрозы заразить цель без какого-либо противодействия.
«Поскольку когда-то четкие границы между операционными системами продолжают становиться все более размытыми, злоумышленники будут использовать преимущества новых векторов атаки. Мы советуем юзерам, которые включили WSL, обеспечить надлежащее ведение журнала, чтобы выявить этот тип угроз», — заключают исследователи.