Se han creado varias muestras maliciosas para el Subsistema de Windows para Linux (WSL) para comprometer las computadoras con Windows, enfatizando el método insidioso que permite a los operadores pasar desapercibidos y frustrar la detección con motores antimalware populares.

Una «arte diferente» es la primera vez que se encuentra un actor que está abusando de WSL para instalar cargas útiles posteriores.

«Estos archivos actuaron como cargadores que activaron una carga útil que se incrustó en una muestra o se recuperó de un servidor remoto y luego se insertó en un proceso en ejecución mediante llamadas a la API de Windows», dijeron los investigadores de Lumen a Black Lotus Labs en un informe publicado el jueves.

Lanzado en agosto de 2016, el Subsistema de Windows para Linux es una capa de compatibilidad que está diseñada para ejecutar ejecutables binarios de Linux (en formato ELF) de forma nativa en la plataforma Windows sin la sobrecarga de una máquina virtual tradicional o una configuración de arranque dual.

Los artefactos más antiguos datan del 3 de mayo de 2021, con una serie de binarios de Linux cargados cada dos o tres semanas hasta el 22 de agosto de 2021. Las muestras no solo están escritas en Python 3 y PyInstaller las convierte en un ejecutable ELF, sino que los archivos son también se organizaron para descargar el código de shell desde un servidor de comando y control remoto y usar PowerShell para realizar actividades de seguimiento en el host infectado.

Esta carga útil secundaria de «código de shell» se inserta luego en el proceso de Windows en ejecución mediante llamadas a la API de Windows para lo que Lumen describió como «ejecutar un binario ELF en Windows», pero no antes de que la muestra intente eliminar los productos antivirus y las herramientas de análisis sospechosos que se ejecutan en la computadora. . . Además, el uso de bibliotecas estándar de Python hace que algunas variantes sean interoperables tanto en Windows como en Linux.

«Hasta ahora, hemos identificado un número limitado de muestras con solo una dirección IP enrutable públicamente, lo que sugiere que esta actividad tiene un alcance bastante limitado o potencialmente aún está evolucionando», dijeron los investigadores. «A medida que los límites entre los sistemas operativos, que alguna vez fueron claros, se vuelven cada vez más borrosos, los actores de amenazas aprovecharán las nuevas áreas ofensivas».