اخیرا چند نمونه بدافزار مخرب شناسایی شده که به WSL (ساب سیستم لینوکسی ویندوز) حمله میکند. این بدافزار دستگاههای مجهز به سیستم عامل ویندوز را هدف قرار میدهد. بدافزار فوق از روشهای بسیار زیرکانهای برای نفوذ به سیستم استفاده میکند که به واسطه آن عاملین میتوانند از دید موتور جستجوی آنتی ویروسهای محبوب نیز دور بمانند.
این اولین باری است که هکرها برای آلوده کردن سیستم قربانیان از WSL بهرهجویی کردند.
به گفته محققان، این فایلها به عنوان Loader (نرمافزارهای کرک ویندوز و آفیس و …) در سیستم اجرا شده و سپس با اتصال به سرور کنترل و فرماندهی هکر، یا فایلهای تعبیه شده داخلی خودش، میتوانست هرگونه بدافزار یا ویروس دیگری را با کمک فراخوانی API ویندوز، اجرا کند.
WSL یا سای سیستم لینوکسی ویندوز در سال ۲۰۱۶ منتشر شد و یک لایه مکمل برای اجرای فایلهای باینری لینوکس با فرمت ELF بر روی ویندوز میباشد. به واسطه این ابزار نیاز به نصب ماشین مجازی یا بوت دوگانه ویندوز از میان برداشته شد.
اولین نمونههای این بدافزار در اوایل ماه می ۲۰۲۱ شناسایی شد. این نمونه ها با زبان پایتون ۳ نوشته شدهاند و سپس به فرمت ELF تبدیل شدهاند تا بتوان آن را با استفاده از PyInstaller اجرا کرد. علاوه بر این، فایلها طوری طراحی شده که پس از اجرا، کدهای شل مخرب را از سرور کنترل و فرماندهی عاملین دانلود کرده و آنها را از طریق پاورشل ویندوز سیستم قربانی، اجرا میکند.
در مرحله دوم، این کدها از طریق فرایندهای در حال اجرای ویندوز و فراخوانی API اجرا میشود. نمونه فوق قبل از اجرای مرحله دوم، فعالیت آنتی ویروسهای احتمالی و تمامی ابزارهای آنالیز را در سیستم قربانی متوقف میسازد. به گفته محققان، با توجه به اینکه بدافزار فوق از کتابخانههای استاندارد پایتون برای اجرای دستورات مخرب استفاده میکند میتواند هر دو سیستم عامل ویندوز و لینوکس را آلوده کند.
به گفته محققان از این بدافزار تنها چند نمونه شناسایی شده، یعنی به احتمال قوی بدافزار فوق هنوز به طور کامل توسعه پیدا نکرده و به احتمال قوی به زودی شاهد حملات گستردهای از این طریق خواهیم بود.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.