Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert un loader (chargeur) de binaires Windows qui, contrairement aux autres chargeurs de ce type, fonctionne sous forme de serveur et exécute les modules reçus en mémoire. Un chargeur (programme) est un malware utilisé pour charger les fichiers objets d’un autre exécutable sur la machine infectée, dans ce cas directement dans la mémoire. ESET n’a détecté qu’une poignée d’échantillons de Wslink dans sa télémétrie au cours des deux dernières années, avec des occurrences en Europe centrale, en Amérique du Nord et au Moyen-Orient.

« Wslink est un chargeur simple mais remarquable, qui contrairement à ceux que nous voyons habituellement, fonctionne sous forme de serveur et exécute les modules reçus en mémoire, » explique Vladislav Hrčka, chercheur chez ESET qui a découvert Wslink. « Nous avons nommé ce nouveau malware Wslink d’après l’une de ses DLL, » ajoute M. Hrčka.

Il n’existe aucune similitude au niveau du code ou des fonctionnalités indiquant qu’il s’agit d’un outil utilisé par un groupe de pirates connu. Ses modules réutilisent par ailleurs les fonctions du chargeur pour la communication, les clés et les sockets. Ils n’ont donc pas besoin d’initier de nouvelles connexions sortantes. Wslink dispose également d’un protocole cryptographique pour protéger les données échangées.

« Nous avons implémenté notre propre version d’un client Wslink, qui pourrait intéresser des analystes débutants de malwares, car elle montre comment réutiliser les fonctions sortantes du chargeur et interagir avec elles. Notre analyse sert également de ressource informative pour documenter cette menace, à l’intention des experts en cybersécurité, » poursuit M. Hrčka. Le code source complet du client est disponible dans notre GitHub WslinkClient.

Pour plus de détails techniques sur Wslink, lisez l’article « Wslink: Unique and undocumented malicious loader that, remarkably, runs as a server » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

(Vus 55 fois, 1 visites Aujourd'hui)

Lire aussi  Total se transforme et devient TotalEnergies