ESET Wslink Isminde Yeni Bir Zararı olan Yazılım Keşfetti
[ad_1]
ESET araştırmacıları, Windows kodlarını hedef alan benzersiz ve daha ilkin belgelenmemiş bir zararı olan keşfetti. Bu zararı olan öbürlerinden değişik olarak bir sunucu benzer biçimde çalışıyor ve alınan modülleri bellekte yürütüyor. Wslink isminde olan bu zararı olan yükleyici Orta Avrupa, Şimal ABD ve Ortadoğu’yu hedef alıyor.
Bir çeşit yükleyici olan zararı olan yazılımın bu türü, etkilediği makinelere başka çalıştırılabilir dosyaları yüklüyor; fena amaçlı bir kod parçası, program, olarak kullanılıyor. Zararı olan yazılım direkt belleği hedefliyor. ESET geçtiğimiz iki yıl içinde telemetrisinde yalnızca birkaç tane Wslink örneği görmüş oldu. Tespit edilen örnekler Orta Avrupa, Şimal ABD ve Orta Doğu’da içeriyor.
Wslink’i keşfeden ESET araştırmacısı Vladislav Hrcka mevzu ile ilgili şunları söylemiş oldu: “Wslink, rahat sadece kayda kıymet bir yükleyici. Çoğu zaman karşılaştığımız öteki yükleyicilerden değişik olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden dolayı bu yeni fena amaçlı yazılıma Wslink adını verdik.”
Bu aracın malum bir tehdit aktörü grubundan olduğuna dair bir kod, işlev yada operasyonel benzerlik bulunmuyor. Ek olarak modülleri yazışma, anahtarlar ve soketler için yükleyici işlevlerini tekrardan kullanıyor; dolayısıyla yeni giden bağlantıları başlatmaları gerekmiyor. Wslink, ele geçirilen verileri korumak için iyi geliştirilmiş bir kriptografik protokole de haiz.
Hrcka bu durumu şöyleki açıklıyor: “Fena amaçlı yazılım analizi mevzusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış işlevlerinin iyi mi yine kullanılabileceğini ve bu işlevlerle iyi mi etkileşime geçilebileceğini gösteriyor. Ek olarak analizimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak durumunda.” İstemci ile ilgili tam kaynak kodu, WslinkClient GitHub depomuzda mevcut.
[ad_2]