隨著Windows Subsystem for Linux的使用增加,WSL也成為惡意程式作者的新目標。安全廠商偵測到最新的WSL惡意程式,可從鍵盤側錄或螢幕擷圖竊取密碼、或是Chrome、Opera等瀏覽器cookies的敏感資訊。
安全廠商Lumen旗下的Black Lotus實驗室去年9月首度發現針對WSL的威脅,證明Linux binary被用於在WSL載入惡意程式。而在今年3月又發現2隻以WSL為目標的新惡意程式。
研究人員指出,2隻新發現的WSL惡意程式樣本為遠端存取木馬(Remote Access Trojan, RAT),都結合從GitHub取得的開源專案以增進其攻擊,而且也都使用第三方合法服務對木馬下達攻擊指令,目的在躲避偵測。
其中一隻惡意程式內結合GitHub上的Discord Token Grabber專案,這類專案可用於竊取Discord、Chrome、Opera等瀏覽器驗證令牌或密碼,並傳到駭客的Discord帳號。以功能而言,這隻惡意程式還會鍵盤側錄、存取攝影機、取得螢幕擷圖、複製剪貼簿功能及執行任意指令等。
第二隻RAT則似乎利用GitHub上的Telegram-RAT專案。Telegram-RAT專案賦予它執行指令、上傳/下載檔案及取得儲存於磁碟的憑證資料的能力,並將RAT竊得的用戶電腦資訊傳回給攻擊者。研究人員指出,從它還有活動中的Telegram bot token和chat ID判斷,攻擊者的C&C伺服器控制機制也仍在使用中。
最新樣本的分析顯示,駭客藉由開源工具客製化,已為此類威脅增進多種能力,值得注意的是,兩者在VirusTotal的偵測率極低,前者在61項防毒引擎中只有3個偵測到,後者的偵測率則為9/62。
研究人員指出,由於執行WSL的用戶通常具有更高的網路權限,因此企業必須在日常運作中更加強防範。
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23