Компания ESET сообщает об обнаружении уникального загрузчика для бинарных файлов Windows, который работает как сервер. Согласно данным телеметрии ESET, за последние два года было зафиксировано несколько образцов Wslink в Центральной Европе, Северной Америке и на Ближнем Востоке.

Следует отметить, что загрузчик ― это вредоносный код (программа), который используется для загрузки других исполняемых файлов на зараженное устройство, в этом случае ― непосредственно в память.

«Wslink ― это простой, но интересный загрузчик, который в отличие от других работает как сервер и выполняет полученные модули в памяти, ― комментирует Владислав Грчка, исследователь ESET. ― Это новое вредоносное программное обеспечение получило название Wslink из-за одной из своих DLL».

Отсутствие сходств кода, функционала или поведения не позволяют связать инструмент с известными группами киберпреступников. Кроме того, его модули повторно используют функции загрузчика для соединения, ключей и сокетов, поэтому им не нужно создавать новые исходные соединения. Wslink также имеет качественно разработанный криптографический протокол защиты данных для обмена.

«Мы реализовали собственную версию клиента Wslink, которая показывает возможность повторного использования существующих функций загрузчика и взаимодействия с ними. Наш анализ полезен тем, что информирует об этой угрозе специалистов по кибербезопасности», – объясняет исследователь ESET.

Полный исходный код клиента доступен в репозитории WslinkClient на GitHub.