Binarios ELF de Linux Malware que ataca a través del subsistema de Windows para Linux (WSL)
septiembre 20, 2021Un grupo de investigadores de la empresa de telecomunicaciones estadounidense Lumen Technologies descubrió archivos Python que se traducían al formato binario ELF y, al ser ejecutados por el WSL, descargaban código malicioso y lo inyectaban en procesos de Windows en ejecución a través de llamadas a la API de Windows. El malware tiene un diseño bastante simple y probablemente fue desarrollado con fines de prueba. El alware primero intenta desactivar los programas antivirus conocidos en el ordenador y luego se comunica con una dirección IP externa en los puertos del rango 39000 a 48000.
Función del malware
El código malicioso fue escrito en Python 3 y compilado como un binario ELF para sistemas Debian utilizando PyInstaller. Una versión funciona completamente con Python y otra muestra del malware carga un script de PowerShell a través de la API de Windows, que ejecuta las principales funciones del código malicioso. Para ser ejecutado en el sistema objetivo, el código malicioso debe ser descargado desde la víctima y ejecutado a través de WSL.
