Вівторок, 23 Липня, 2024

Windows вперше почали заражати через Linux

Кібердослідники виявили новий спосіб атаки шкідливого програмного забезпечення на Windows. Вперше комп’ютери з Windows атакують через вбудовані в неї Linux-компоненти.

Дослідники кібербезпеки випадково натрапили на новий і, можливо, унікальний вектор атаки для компрометації комп’ютерів Windows. Він включає шкідливі бінарні файли Linux, створені для підсистеми Windows для Linux (WSL).

Експерти з лабораторії Black Lotus Labs кажуть, що нещодавно виявили кілька шкідливих файлів, які були написані в основному на Python і скомпільовані в бінарному форматі Linux ELF для дистрибутива Debian.

«Хоча цей підхід не був особливо складним, новизна використання завантажувача ELF, розробленого для середовища WSL, дала методу коефіцієнт виявлення на рівні одного виявлення сервісом Virus Total, залежно від зразка, на момент написання цієї статті», – ділиться Black Lotus.

Дослідники додають, що на даний момент вони визначили лише обмежену кількість файлів. Це, можливо, вказує на те, що або діяльність обмежена масштабом, або, що більш тривожно, все ще знаходиться в стадії розробки.

Зловживання WSL

Black Lotus вважає, що це, мабуть, перший випадок, коли зловмисники зловживають WSL для запровадження шкідливих додатків в Windows.

Вперше шкідливі бінарні файли виявили на початку травня, і вони продовжували з’являтися кожні два-три тижні до 22 серпня.

Аналіз зразків показав, що код Python діяв як завантажувач і використовував різні API Windows для завантаження віддаленого файлу, а потім вставляв його в запущений процес.

Оскільки більшість антивірусів для систем Windows не мають сигнатур для аналізу файлів ELF, цей вектор атаки міг дозволити суб’єктам загрози заразити ціль без будь-якої протидії.

«Оскільки колись чіткі межі між операційними системами продовжують ставати все більш розмитими, зловмисники будуть використовувати переваги нових векторів атаки. Ми радимо юзерам, які включили WSL, забезпечити належне ведення журналу, щоб виявити цей тип загроз», – підсумовують дослідники.

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися