Sistemi Windows attaccati attraverso il livello di compatibilità WSL

Posted by

Il nuovo vettore di attacco consente agli aggressori di infettare il computer di una vittima senza alcuna resistenza.

I ricercatori di sicurezza informatica di Black Lotus Labs hanno documentato un nuovo vettore di compromissione sui computer Windows che include binari Linux dannosi creati per Windows Subsystem for Linux (WSL).

Gli esperti hanno scoperto una serie di file dannosi scritti in Python e compilati nel binario Linux ELF (Executable and Linkable Format) per la distribuzione Debian.

“Anche se questo approccio non era particolarmente sofisticato, la novità dell’utilizzo del caricatore ELF sviluppato per l’ambiente WSL ha dato a questo metodo un tasso di rilevamento pari a uno o zero in Virus Total”, hanno affermato i ricercatori.

Black Lotus ritiene che questa sia forse la prima volta che gli aggressori utilizzano in modo improprio WSL per iniettare dati dannosi nelle installazioni di Windows. I ricercatori hanno scoperto binari dannosi all’inizio di maggio di quest’anno, che hanno continuato a comparire ogni 2-3 settimane fino al 22 agosto.

Il codice Python funge da caricatore e utilizza varie API di Windows per recuperare un file remoto e quindi inserirlo in un processo in esecuzione.

Poiché la maggior parte degli agenti endpoint progettati per i sistemi Windows non sono dotati di firme per analizzare i file ELF, questo vettore di attacco consente agli aggressori di infettare il computer di una vittima senza trovare alcuna resistenza.

Vuoi commentare? Accendi la discussione