Pesquisadores encontram malware escondido no Subsistema do Windows para Linux

Na última quinta-feira (16), a Black Lotus Labs revelou a descoberta de um novo malware que usa o Subsistema do Windows para Linux (WSL) para evitar ser detectado por ferramentas de segurança.

O WSL chegou ao Windows em 2016 junto de um update de aniversário da décima versão do sistema. Ele surgiu como uma forma de acessar ferramentas GNU e Linux sem ter que inicializar um sistema operacional diferente.

Originalmente, a ferramenta não fornecia acesso verdadeiro ao kernel do Linux. No entanto, isso mudou em junho de 2019, com o lançamento do WSL 2. Foi a partir disso que o malware começou a atacar secretamente os computadores dos usuários infectados.

A distribuição da ameaça aconteceu por meio de arquivos Executable and Linkable Format (ELF) destinados a rodar no Debian, uma das distribuições mais populares do Linux. Em alguns casos, esses itens possuíam uma carga útil destinada a um PC específico.

A Black Lottus encontrou várias versões do mesmo arquivo ELF infectadas. Análises indicam que seu código foi todo escrito em Python usando bibliotecas padrão que podem ser usadas em sistemas Linux e Windows.

De acordo com um utilitário que verifica arquivos infectados em busca de malwares, chamado VirusTotal, a ameaça possui “uma taxa de detecção de um ou zero”.

“Até onde sabemos, este pequeno conjunto de amostras denota a primeira instância de um ator abusando do WSL para instalar cargas úteis. Esperamos que, ao mostrar esta especialidade distinta, possamos ajudar a conduzir uma melhor detecção antes que seu uso se torne mais desenfreado”, disseram os pesquisadores do Black Lotus Lab.

Como recomendação, os especialistas dizem que os usuários do WSL devem utilizar registros adequados para evitar que esse malware seja amplamente utilizado.

Via: Tom’s Hardware