Especialistas em segurança descobriram malware em execução no ambiente Windows Subsystem for Linux (WSL). O binário do Linux tenta atacar o Windows e carregar módulos de software adicionais.
Fonte: freepik.com
O problema foi relatado por especialistas da equipe Black Lotus Labs da empresa americana de telecomunicações Lumen Technologies. Eles encontraram vários arquivos Python maliciosos compilados no formato binário Executable and Linkable Format (ELF) para Debian Linux. “Esses arquivos agiram como bootloaders, lançando uma ‘carga’ que foi incorporada à própria instância ou veio de um servidor remoto e então injetada em um processo em execução usando chamadas de API do Windows”, disse Black Lotus Labs em uma postagem.
Em 2017, mais de um ano após o lançamento do WSL, os pesquisadores da Check Point demonstraram um ataque experimental denominado Bashware que permitia que ações maliciosas fossem realizadas a partir de executáveis ELF e EXE em um ambiente WSL. Mas o WSL é desabilitado por padrão e o Windows 10 vem sem nenhuma distribuição Linux embutida, então a ameaça do Bashware não parecia realista. No entanto, 4 anos depois, algo semelhante foi descoberto fora das condições de laboratório.
Especialistas da Black Lotus Labs observaram que as amostras de código malicioso mostraram a classificação mínima no serviço VirusTotal, o que significa que a maioria dos programas antivírus perderá esses arquivos. Os exemplos descobertos pelos especialistas foram escritos em Python 3 e compilados em ELF usando o PyInstaller. O código chama a API do Windows para baixar um arquivo de terceiros e executar seu código em um processo de terceiros, que fornece a um invasor acesso à máquina infectada. Presumivelmente, isso requer que você execute primeiro o arquivo no ambiente WSL.
Duas variantes do malware foram descobertas. O primeiro foi escrito em Python puro, o segundo também usou uma biblioteca para se conectar à API do Windows e executar um script do PowerShell. No segundo caso, o Black Lotus Labs sugeriu que o módulo ainda está em desenvolvimento porque não funciona sozinho. A amostra também identificou um endereço IP (185.63.90 [.] 137) associado a destinos no Equador e na França, de onde máquinas infectadas tentaram se comunicar nas portas 39.000 a 48.000 no final de junho e início de julho. Presume-se que o proprietário do malware testou uma VPN ou servidor proxy.