Експерти з безпеки виявили шкідливе пз, що працює в середовищі windows subsystem for linux (wsl). Бінарний файл під linux намагається атакувати windows і завантажити додаткові програмні модулі.
Джерело: freepik.com
Про проблему повідомили експерти команди black lotus labs в американській телекомунікаційній компанії lumen technologies. Вони виявили кілька шкідливих файлів на python, скомпільованих у бінарний формат elf (executable and linkable format) для debian linux. “ці файли діяли як завантажувачі, що запускають” корисне навантаження», яка або була вбудована в сам екземпляр, або надходила з віддаленого сервера, а потім впроваджувалася в працюючий процес за допомогою викликів windows api”, — йдеться в повідомленні black lotus labs.
У 2017 році, більш ніж через рік після випуску wsl, дослідники check point продемонстрували експериментальну атаку під назвою bashware, яка дозволяла виробляти шкідливі дії з виконуваних файлів elf і exe в середовищі wsl. Але середовище wsl за замовчуванням вимкнено, а windows 10 поставляється без будь-яких вбудованих дистрибутивів linux, тому загроза bashware не була реалістичною. Однак 4 роки по тому щось подібне було виявлено вже поза лабораторними умовами.
Експерти black lotus labs відзначили, що зразки шкідливого коду показали мінімальний рейтинг на сервісі virustotal, а це означає, що більшість антивірусних програм пропустить такі файли. Виявлені фахівцями зразки були написані на python 3 і скомпільовані в elf за допомогою pyinstaller. Код звертається до windows api для завантаження стороннього файлу і запуску його коду в сторонньому процесі, що забезпечує зловмиснику доступ до зараженої машині. Імовірно, для цього потрібно спочатку запустити файл в середовищі wsl.
Були виявлені два варіанти шкідника. Перший написаний на чистому python, другий додатково використовував бібліотеку для підключення до windows api і запуску скрипта powershell. У другому випадку, припустили в black lotus labs, модуль ще знаходиться в розробці, тому що сам по собі не працює. У вибірці була також ідентифікована ip-адреса (185.63.90 [.] 137), пов’язаний з цілями в еквадорі і франції, звідки заражені машини намагалися вийти на зв’язок по портах з 39000 по 48000 в кінці червня і початку липня. Передбачається, що власник шкідника тестував vpn або проксі-сервер.
