Pesquisadores encontram malware oculto no subsistema do Windows para Linux

O malware tinha como alvo o WSL para escapar dos mecanismos de detecção.

O Black Lotus Labs revelou na quinta-feira que descobriu um novo malware que usa o Windows Subsystem for Linux (WSL) para evitar ser detectado por ferramentas de segurança.

WSL estreou em 2016 junto com a atualização de aniversário do Windows 10 como uma forma de acessar as ferramentas GNU e Linux sem ter que inicializar em um sistema operacional diferente. Originalmente, ele não fornecia acesso verdadeiro ao kernel do Linux – ele usava um kernel compatível desenvolvido pela Microsoft – mas isso mudou quando o WSL 2 chegou em junho de 2019.

Esse lançamento trouxe oficialmente o kernel do Linux para o Windows e, embora isso geralmente seja uma coisa boa para pessoas que não querem se preocupar com a inicialização dupla ou usando um ambiente de máquina virtual diferente, também representa um risco de segurança. O Black Lotus Labs disse que o malware que encontrou foi usado para atacar secretamente os PCs alvo.

Os pesquisadores disseram que o malware foi distribuído por meio de arquivos Executable and Linkable Format (ELF) destinados a rodar no Debian, uma distribuição popular do Linux, e seus derivados. Em alguns casos, esses arquivos continham uma carga útil destinada a um PC de destino; em outros, eles receberam uma carga de comando remoto e infraestrutura de controle.

Black Lotus Labs encontrou várias versões dos arquivos ELF maliciosos. Diz-se que um foi escrito exclusivamente em Python, usando bibliotecas padrão que permitiriam o uso de sistemas Linux e Windows. Outro usou o PowerShell, o shell de comando e a linguagem de script da Microsoft, para interagir com APIs específicas do Windows.

Os pesquisadores disseram que “esta técnica pode permitir que um ator ganhe um ponto de apoio não detectado em uma máquina infectada.” O VirusTotal, um utilitário que verifica os arquivos enviados em busca de malware contra mais de 70 scanners antivírus, confirmou isso dando “à técnica uma taxa de detecção de um ou zero” quando o relatório do Black Lotus Labs foi escrito.

“Até onde sabemos, este pequeno conjunto de amostras denota a primeira instância de um ator abusando de WSL para instalar cargas úteis subsequentes”, disseram os pesquisadores de segurança do Black Lotus Labs. “Esperamos que, ao iluminar esta especialidade distinta, possamos ajudar a conduzir uma melhor detecção e alerta antes que seu uso se torne mais desenfreado.”

Enquanto isso, o Black Lotus Labs está pedindo aos usuários do WSL que garantam o uso do registro adequado para ajudar a evitar que esse tipo de malware seja amplamente utilizado.

Fonte: https://www.tomshardware.com/