« Wslink est un chargeur simple mais remarquable, qui contrairement à ceux que nous voyons habituellement, fonctionne sous forme de serveur et exécute les modules reçus en mémoire, » explique Vladislav Hrčka, chercheur chez ESET qui a découvert Wslink. « Nous avons nommé ce nouveau malware Wslink d’après l’une de ses DLL, » ajoute M. Hrčka.
Il n’existe aucune similitude au niveau du code ou des fonctionnalités indiquant qu’il s’agit d’un outil utilisé par un groupe de pirates connu. Ses modules réutilisent par ailleurs les fonctions du chargeur pour la communication, les clés et les sockets. Ils n’ont donc pas besoin d’initier de nouvelles connexions sortantes. Wslink dispose également d’un protocole cryptographique pour protéger les données échangées.
« Nous avons implémenté notre propre version d’un client Wslink, qui pourrait intéresser des analystes débutants de malwares, car elle montre comment réutiliser les fonctions sortantes du chargeur et interagir avec elles. Notre analyse sert également de ressource informative pour documenter cette menace, à l’intention des experts en cybersécurité, » poursuit M. Hrčka. Le code source complet du client est disponible dans notre GitHub WslinkClient.
À propos d’ESET :
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 202019