Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET Research découvre Wslink, un nouveau malware ciblant l’Europe centrale, l’Amérique du Nord et le Moyen-Orient

octobre 2021 par ESET

Les chercheurs d’ESET ont découvert un loader (chargeur) de binaires Windows qui, contrairement aux autres chargeurs de ce type, fonctionne sous forme de serveur et exécute les modules reçus en mémoire. Un chargeur (programme) est un malware utilisé pour charger les fichiers objets d’un autre exécutable sur la machine infectée, dans ce cas directement dans la mémoire. ESET n’a détecté qu’une poignée d’échantillons de Wslink dans sa télémétrie au cours des deux dernières années, avec des occurrences en Europe centrale, en Amérique du Nord et au Moyen-Orient.

« Wslink est un chargeur simple mais remarquable, qui contrairement à ceux que nous voyons habituellement, fonctionne sous forme de serveur et exécute les modules reçus en mémoire, » explique Vladislav Hrčka, chercheur chez ESET qui a découvert Wslink. « Nous avons nommé ce nouveau malware Wslink d’après l’une de ses DLL, » ajoute M. Hrčka.

Il n’existe aucune similitude au niveau du code ou des fonctionnalités indiquant qu’il s’agit d’un outil utilisé par un groupe de pirates connu. Ses modules réutilisent par ailleurs les fonctions du chargeur pour la communication, les clés et les sockets. Ils n’ont donc pas besoin d’initier de nouvelles connexions sortantes. Wslink dispose également d’un protocole cryptographique pour protéger les données échangées.

« Nous avons implémenté notre propre version d’un client Wslink, qui pourrait intéresser des analystes débutants de malwares, car elle montre comment réutiliser les fonctions sortantes du chargeur et interagir avec elles. Notre analyse sert également de ressource informative pour documenter cette menace, à l’intention des experts en cybersécurité, » poursuit M. Hrčka. Le code source complet du client est disponible dans notre GitHub WslinkClient.




Voir les articles précédents

    

Voir les articles suivants