Компанія ESET ― лідер у галузі інформаційної безпеки ―повідомляє про виявлення унікального завантажувача для бінарних файлів Windows, який працює як сервер. Відповідно до даних телеметрії ESET, за останні два роки було зафіксовано кілька зразків Wslink у Центральній Європі, Північній Америці та на Близькому Сході.

Варто зазначити, що завантажувач ― це шкідливий код (програма), який використовується для завантаження інших виконуваних файлів на інфікований пристрій, у цьому випадку ― безпосередньо у пам’ять.

«Wslink ― це простий, але цікавий завантажувач, який на відміну від інших, працює як сервер та виконує отримані модулі в пам’яті, ― коментує Владислав Грчка, дослідник ESET. ― Це нове шкідливе програмне забезпечення отримало назву Wslink через одну зі своїх DLL».

Дослідники ESET розкрили можливості Wslink та інформували спеціалістів з кібербезпеки.

Відсутність подібностей коду, функціоналу або поведінки не дозволяють пов’язати інструмент із відомими групами кіберзлочинців. Крім того, його модулі повторно використовують функції завантажувача для з’єднання, ключів та сокетів, тому їм не потрібно створювати нові вихідні з’єднання. Wslink також має якісно розроблений криптографічний протокол для захисту даних для обміну.

«Ми реалізували власну версію клієнта Wslink, яка показує можливість повторного використання існуючих функцій завантажувача та взаємодії з ними. Наш аналіз є корисним тим, що інформує про цю загрозу спеціалістів з кібербезпеки», – пояснює дослідник ESET.

Джерело ESET

З питань придбання рішень ESET звертайтесь до наших фахівців +380 (44) 383 4410 або sales@softico.ua.