Linux ELF binaries Złośliwe oprogramowanie, które atakuje poprzez Windows Subsystem for Linux (WSL)

Grupa badaczy z amerGrupa badaczy z amerykańskiej firmy telekomunikacyjnej Lumen Technologies odkryła pliki Pythona, które były tłumaczone na format binarny ELF i po wykonaniu przez WSL pobierały złośliwy kod i wstrzykiwały go do uruchomionych procesów Windows poprzez wywołania Windows API. W pierwszej kolejności próbuje wyłączyć znane programy antywirusowe na komputerze, a następnie komunikuje się z zewnętrznym adresem IP na portach w zakresie od 39000 do 48000.

Funkcja maleware

Złośliwy kod został napisany w Pythonie 3 i skompilowany jako plik binarny ELF dla systemów Debian przy użyciu PyInstallera. Jedna z wersji działa w całości w Pythonie, natomiast inna próbka złośliwego oprogramowania ładuje za pośrednictwem Windows API skrypt PowerShell, który wykonuje główne funkcje złośliwego kodu. Aby złośliwy kod został wykonany na systemie docelowym, musi zostać pobrany od ofiary i wykonany za pośrednictwem WSL.