ESET ARAŞTIRMACILARI, WINDOWS KODLARINI HEDEF ALAN BENZERSİZ VE DAHA ÖNCE BELGELENMEMİŞ BİR ZARARLI KEŞFETTİ. BU ZARARLI DİĞERLERİNDEN FARKLI OLARAK BİR SUNUCU GİBİ ÇALIŞIYOR VE ALINAN MODÜLLERİ BELLEKTE YÜRÜTÜYOR. “WSLINK” ADI VERİLEN BU ZARARLI YÜKLEYİCİ, ORTA AVRUPA, KUZEY AMERİKA VE ORTA DOĞU’YU HEDEF ALIYOR.
Bir çeşit yükleyici olan zararlı yazılımın bu türü, etkilediği makinelere başka çalıştırılabilir dosyaları yüklüyor; kötü amaçlı bir kod parçasını program olarak kullanıyor ve doğrudan belleği hedefliyor. ESET, geçtiğimiz iki yıl içerisinde telemetrisinde yalnızca birkaç tane Wslink örneği gördü ve tespit edilen örnekler Orta Avrupa, Kuzey Amerika ve Orta Doğu’da yer alıyor. Wslink’i keşfeden ESET araştırmacısı Vladislav Hrčka, konu ile ilgili şunları söylüyor: “Wslink, basit ancak kayda değer bir yükleyici. Genellikle karşılaştığımız diğer yükleyicilerden farklı olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden ötürü bu yeni kötü amaçlı yazılıma Wslink adını verdik.” Bu zararlı aracın bilinen bir tehdit aktörü grubundan olduğuna dair bir kod, işlev ya da operasyonel benzerlik bulunmuyor. Ayrıca modüllerin iletişim, anahtarlar ve soketler için yükleyici işlevlerini yeniden kullanıyor; dolayısıyla yeni giden bağlantıları başlatmaları gerekmiyor. Wslink, ele geçirilen verileri korumak için iyi geliştirilmiş bir kriptografik protokole de sahip. Vladislav Hrčka bu durumu şöyle açıklıyor: “Kötü amaçlı yazılım analizi konusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış işlevlerinin nasıl tekrar kullanılabileceğini ve bu işlevlerle nasıl etkileşime geçilebileceğini gösteriyor. Ayrıca analizimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak niteliğinde.” ESET’in geliştirdiği istemci ile ilgili tam kaynak koduna, sayfada göreceğiniz karekodu mobil telefonunuz ya da tabletinize okutarak WslinkClient GitHub deposundan erişebilir ya da Wslink hakkında daha fazla teknik ayrıntı için ikinci karekodu kullanabilirsiniz.