– Los investigadores de seguridad han descubierto un binario de Linux malicioso creado para el Subsistema de Windows para Linux (WSL). Esto indica que los piratas informáticos están probando nuevos métodos para infiltrarse en las máquinas con Windows. Estos hallazgos subrayan que los piratas informáticos están explorando nuevos métodos de ataque y están centrando su atención en WSL para evadir la detección.
Uso de WSL para evitar la detección
Las primeras muestras dirigidas al entorno WSL se encontraron a principios de mayo y continuaron apareciendo cada dos o tres semanas hasta el 22 de agosto. La muestra actúa como un cargador para el entorno WSL y sufre una detección muy baja en los servicios de análisis de archivos públicos.
En un informe, los investigadores de seguridad de Black Lotus Labs de Lumen dijeron que el archivo malicioso tenÃa una carga útil incrustada o lo recuperó de un servidor remoto. El siguiente paso es inyectar malware en el proceso en ejecución utilizando la llamada de la API de Windows, esta es en realidad una técnica antigua.
De las varias muestras identificadas, solo una vino con una dirección IP enrutable públicamente, lo que sugiere que los piratas informáticos estaban probando el uso de WSL para instalar malware en Windows.
El archivo malicioso se basa en Python 3 para hacer su trabajo y está empaquetado como un ejecutable ELF para Debian usando PyInstaller.
“Como sugiere VirusTotal, la mayorÃa de los agentes de punto final diseñados para sistemas Windows no tienen una firma creada para analizar archivos ELF, aunque a menudo detectan agentes que no son WSL con una funcionalidad similar”, dijo Black Lotus Labs.
Hace algún tiempo, uno de los archivos maliciosos de Linux fue detectado por un solo motor antivirus en VirusTotal. Al realizar una actualización de escaneo en otra muestra, se mostró que la máquina no la detectó por completo en el servicio de escaneo.
Phyton y PowerShell
Una de las variantes, escrita completamente en Python 3, no usa ninguna API de Windows y parece ser el primer intento de un cargador para WSL. Esa variante usa la biblioteca Python estándar, lo que la hace compatible con Windows y Linux.
Los investigadores encontraron en el código de muestra de prueba que imprimÃa el mensaje “Hola Sanya” en ruso. Todos menos un archivo asociado con esta muestra contienen direcciones IP locales, mientras que la IP pública apunta a 185.63.90[.]137, ya estaba fuera de lÃnea cuando los investigadores intentaron recuperar su carga útil.
Otra variante del cargador “ELF to Windows” se basa en PowerShell para inyectar y ejecutar código de shell. Una de esas muestras usa Python para llamar a una función que apaga un antivirus en ejecución, establece la persistencia en el sistema y ejecuta un script de PowerShell cada 20 segundos.
Con base en las inconsistencias observadas al analizar algunas de las muestras, los investigadores creen que el código aún se encuentra en la etapa de desarrollo. La visibilidad limitada de las direcciones IP públicas sugiere actividad en Ecuador y Francia entre finales de junio y principios de julio, que era el objetivo.
Black Lotus Labs consideró que el cargador de malware WSL fue obra de piratas informáticos que probaron los métodos de una VPN o un nodo proxy.
Microsoft presentó el subsistema de Windows para Linux en abril de 2016. En septiembre de 2017, cuando WSL acababa de salir de la versión beta, los investigadores de Check Point demostraron un ataque que llamaron Bashware en el que se podÃa abusar de WSL para ocultar código malicioso de los productos de seguridad.
