Se ejecuta bajo WSL: el primer malware para Linux apareció en Windows
septiembre 20, 2021Lo que todavía era una teoría hace cuatro años es ahora real: binarios ELF de Linux que atacan los sistemas Windows a través de su propia API.
Los investigadores de seguridad han descubierto por primera vez un malware real que abusa del subsistema de Windows para Linux (WSL) para instalar código malicioso. Hasta ahora, la propagación del malware de Linux en Windows a través de WSL era pura teoría. Ahora, sin embargo, un grupo de investigadores de la empresa de telecomunicaciones estadounidense Lumen Technologies ha descubierto archivos Python que han sido traducidos al formato binario ELF y que, al ser ejecutados por WSL, descargan código malicioso y lo inyectan en los procesos de Windows en ejecución a través de llamadas a la API de Windows.
No es una prueba de concepto
Según Lumen, el código malicioso parece ser un malware real que fue descubierto en la naturaleza. Sin embargo, es bastante simple y probablemente se desarrolló con fines de prueba. El malware intenta primero desactivar los programas antivirus conocidos en el ordenador y luego se comunica con una dirección IP externa en los puertos del rango 39000 a 48000. Los investigadores de seguridad sospechan que los desarrolladores del código malicioso querían probar con él conexiones VPN o proxy. Se descubrieron ordenadores infectados en Francia y Ecuador.
El código malicioso fue escrito en Python 3 y traducido como un archivo binario ELF para sistemas Debian utilizando PyInstaller. Una versión funciona completamente con Python y otra muestra del malware carga un script de PowerShell a través de la API de Windows, que ejecuta las principales funciones del código malicioso. Para ser ejecutado en el sistema objetivo, el código malicioso debe ser descargado por la víctima y ejecutado a través de WSL. Los investigadores de seguridad no parecen saber qué método específico utilizó el atacante para ejecutar el archivo ELF en el WSL.
VirusTotal agita el código malicioso a través de
Por un lado, la amenaza del malware WSL es hasta ahora muy limitada porque el código malicioso real no hace cosas particularmente maliciosas hasta ahora y porque las instalaciones de WSL sólo están activas en un pequeño número de sistemas Windows, principalmente por desarrolladores y entusiastas de la tecnología. Por otro lado, es preocupante que el código malicioso descrito por Lumen sólo fuera detectado por uno de los más de 70 escáneres de virus de VirusTotal cuando fue descubierto. Una de las versiones del malware ni siquiera fue desenmascarada por ninguno de los escáneres. Esto indica claramente que los fabricantes de antivirus apenas han tenido, o no han tenido, este tipo de malware en su radar.
El vector de ataque ya no es una teoría
La primera aparición del malware WSL en la naturaleza es significativa sobre todo porque este tipo de amenaza era hasta ahora pura teoría, lo que probablemente explica también la baja tasa de detección del código malicioso por parte de los programas antivirus. Ya en 2017, la empresa de seguridad Checkpoint había encontrado una forma de atacar a Windows a través del WSL. Sin embargo, en aquel momento, Checkpoint había exagerado mucho el riesgo de tales ataques: el escenario del ataque era puramente teórico y la evaluación de Checkpoint de los sistemas en riesgo era exagerada. Al final, sí que han tenido que pasar cuatro años para que aparezca un código malicioso que utilice este vector de ataque. Incluso en este punto, no hay razón para el pánico. Sin embargo, los fabricantes de AV y los administradores de los sistemas en los que se activa WSL deberían ser conscientes a partir de ahora de que este tipo de ataques ya no es una teoría y que probablemente tendremos que contar con más malware peligroso que ataque a los ordenadores Windows a través de las desviaciones de WSL en el futuro.
Después de todo, en algunos escenarios podría ser tácticamente inteligente para los atacantes atacar los sistemas de Windows con el malware de Linux. Si una organización sólo tiene máquinas Windows en uso, es muy posible que su departamento de seguridad no vea el malware de Linux como una amenaza en absoluto. E incluso si sólo un administrador ha instalado WSL en su ordenador por razones de afición, esto puede ser suficiente para comprometer a toda la organización si este administrador tiene derechos de gran alcance en la red. No en vano, los ordenadores de administración suelen ser la primera prioridad de los atacantes durante el movimiento lateral a través de la red objetivo: suelen ser una mina de oro de contraseñas, certificados y claves criptográficas.