Binaires Linux ELF Malware qui attaque via le sous-système Windows pour Linux (WSL)
septembre 20, 2021Un groupe de chercheurs de la société de télécommunications américaine Lumen Technologies a découvert des fichiers Python qui étaient traduits au format binaire ELF et qui, lorsqu’ils étaient exécutés par le WSL, téléchargeaient du code malveillant et l’injectaient dans des processus Windows en cours d’exécution via des appels d’API Windows. Le malware est de conception assez simple et a probablement été développé à des fins de test. Il tente d’abord de désactiver les programmes antivirus connus sur l’ordinateur, puis communique avec une adresse IP externe sur des ports compris entre 39000 et 48000.
Fonction du logiciel malveillant
Le code malveillant a été écrit en Python 3 et compilé sous forme de binaire ELF pour les systèmes Debian à l’aide de PyInstaller. Une version fonctionne entièrement avec Python et un autre échantillon du malware charge un script PowerShell via l’API Windows, qui exécute les principales fonctions du code malveillant. Pour être exécuté sur le système cible, le code malveillant doit être téléchargé depuis la victime et exécuté via WSL.
