ESET Wslink İsminde Yeni Bir Ziyanlı Yazılım Keşfetti

ESET Wslink İsminde Yeni Bir Ziyanlı Yazılım Keşfetti
Okunuyor ESET Wslink İsminde Yeni Bir Ziyanlı Yazılım Keşfetti

ESET araştırmacıları, Windows kodlarını maksat alan eşsiz ve daha evvel belgelenmemiş bir ziyanlı keşfetti. Bu ziyanlı başkalarından farklı olarak bir sunucu üzere çalışıyor ve alınan modülleri bellekte yürütüyor. Wslink ismi verilen bu ziyanlı yükleyici Orta Avrupa, Kuzey Amerika ve Ortadoğu’yu maksat alıyor.

Bir çeşit yükleyici olan ziyanlı yazılımın bu çeşidi, etkilediği makinelere öteki çalıştırılabilir belgeleri yüklüyor; berbat maksatlı bir kod kesimi, program, olarak kullanılıyor.  Ziyanlı yazılım direkt belleği hedefliyor. ESET geçtiğimiz iki yıl içerisinde telemetrisinde sadece birkaç tane Wslink örneği gördü. Tespit edilen örnekler Orta Avrupa, Kuzey Amerika ve Orta Doğu’da yer alıyor. 

Wslink’i keşfeden ESET araştırmacısı Vladislav Hrcka mevzu ile ilgili şunları söyledi: “Wslink, kolay lakin kayda bedel bir yükleyici. Ekseriyetle karşılaştığımız öteki yükleyicilerden farklı olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden dolayı bu yeni berbat hedefli yazılıma Wslink ismini verdik.”

Bu aracın bilinen bir tehdit aktörü kümesinden olduğuna dair bir kod, fonksiyon yahut operasyonel benzerlik bulunmuyor. Ayrıyeten modülleri bağlantı, anahtarlar ve soketler için yükleyici fonksiyonlarını tekrar kullanıyor; münasebetiyle yeni giden temasları başlatmaları gerekmiyor. Wslink, ele geçirilen bilgileri korumak için güzel geliştirilmiş bir kriptografik protokole de sahip.

Hrcka bu durumu şöyle açıklıyor: “Kötü maksatlı yazılım tahlili konusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış fonksiyonlarının nasıl tekrar kullanılabileceğini ve bu fonksiyonlarla nasıl etkileşime geçilebileceğini gösteriyor. Ayrıyeten tahlilimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak niteliğinde.” İstemci ile ilgili tam kaynak kodu, WslinkClient GitHub depomuzda mevcut.

Online Müracaat