Gli hacker stanno mostrando un crescente interesse per il Windows Subsystem for Linux (WSL) come superficie di attacco per la creazione di nuovo malware; i campioni più avanzati sono adatti allo spionaggio e al download di moduli dannosi aggiuntivi.

Come suggerisce il nome della funzione, WSL consente l’esecuzione di binari Linux nativi su Windows in un ambiente che emula il kernel Linux.

I campioni di malware basati su WSL scoperti di recente si basano su codice open-source che instrada le comunicazioni attraverso il servizio di messaggistica Telegram e consente all’attore della minaccia di accedere in remoto al sistema compromesso.

I binari Linux dannosi per WSL sono stati scoperti per la prima volta più di un anno fa, con i ricercatori dei Black Lotus Labs di Lumen Technologies che hanno pubblicato un rapporto su questo nuovo tipo di minaccia nel settembre 2021.

Da allora, il loro numero è cresciuto costantemente, con tutte le varianti che godono di bassi tassi di rilevamento, nonostante siano basate su codice pubblicamente disponibile.

I ricercatori di Black Lotus Labs hanno dichiarato a BleepingComputer di aver rintracciato più di 100 campioni di malware basati su WSL dallo scorso autunno.

Alcuni sono più avanzati di altri, hanno dichiarato i ricercatori, aggiungendo che gli attori delle minacce “mostrano un interesse continuo” per il malware che stanno monitorando.

Tra i campioni analizzati, due sono più notevoli per la loro capacità di funzionare come strumento di accesso remoto (RAT) o di stabilire una shell inversa sull’host infetto.

I due campioni sono stati scoperti dopo il rapporto di Black Lotus Labs di marzo, che metteva in guardia sulla possibilità che WSL diventasse una superficie di attacco privilegiata per gli avversari di vari livelli di competenza tecnica.

Uno dei campioni più recenti si è affidato a uno strumento open-source basato su Python, chiamato RAT-via-Telegram Bot, che consente il controllo di Telegram ed è dotato di funzioni per rubare i cookie di autenticazione dai browser web Google Chrome e Opera, eseguire comandi o scaricare file.

I ricercatori di Black Lotus Labs hanno dichiarato a BleepingComputer che il malware era dotato di un token bot live e di un ID chat, il che indica un meccanismo di comando e controllo attivo.

Tra le funzioni aggiuntive di questa variante vi sono l’esecuzione di screenshot e l’acquisizione di informazioni sull’utente e sul sistema (nome utente, indirizzo IP, versione del sistema operativo), che aiutano l’aggressore a determinare il malware o le utility da utilizzare nella fase successiva della compromissione.

Quando Black Lotus Labs ha analizzato il campione, solo due antivirus su 57 di Virus Total lo hanno segnalato come dannoso, hanno osservato i ricercatori.

Un secondo campione di malware basato su WSL scoperto di recente è stato creato per impostare una shell TCP inversa sul computer infetto per comunicare con l’aggressore.

Esaminando il codice, i ricercatori hanno notato che utilizzava un indirizzo IP di Amazon Web Services, già utilizzato in precedenza da diverse entità.

Una particolarità che i ricercatori hanno osservato in questo campione è stata la visualizzazione di un messaggio pop-up in turco, che tradotto significa: “sei fregato e non c’è molto che tu possa fare“.

Tuttavia, né il messaggio pop-up, che potrebbe indicare obiettivi di lingua turca, né il codice hanno fornito indizi sull’autore del malware.

Entrambi i malware potrebbero essere utilizzati a scopo di spionaggio e possono scaricare file che ne estendono le funzionalità, secondo i ricercatori.

Il malware basato su WSL sta decollando

Black Lotus Labs ha avvertito in passato che gli attori delle minacce stanno esplorando più a fondo il vettore WSL, anche se molti degli esempi analizzati “non sembravano ancora pienamente funzionali a causa dell’uso di IP interni o non instradabili”.

Tuttavia, gli autori di malware stanno facendo progressi e hanno già creato varianti che funzionano sia su Windows che su Linux e possono caricare e scaricare file o eseguire comandi dell’aggressore.

A differenza dei precedenti malware basati su WSL, gli ultimi campioni analizzati da Black Lotus Labs “si dimostrerebbero efficaci con un’infrastruttura C2 [comando e controllo] attiva, dati i bassi tassi di rilevamento dei fornitori di AV“.

La raccomandazione generale per difendersi dalle minacce basate su WSL è quella di tenere sotto controllo l’attività del sistema (ad esempio SysMon) per determinare attività sospette e indagare sui comandi.