El Subsistema de Windows para Linux es una capa de compatibilidad diseñada para correr ejecutables binarios de Linux
Se han creado una serie de muestras maliciosas del Subsistema de Windows para Linux (WSL) con el objetivo de comprometer las máquinas con Windows, destacando un método furtivo que permite a los operadores permanecer fuera del radar y frustrar la detección de los populares motores anti-malware.
El "oficio distintivo" marca la primera vez en la que se ha encontrado a un actor de amenazas que abusa de WSL para instalar cargas útiles posteriores.
"Estos archivos actuaron como cargadores que ejecutaban una carga útil que estaba incrustada dentro de la muestra o recuperada de un servidor remoto y luego se inyectaba en un proceso en ejecución utilizando llamadas API de Windows", dijeron investigadores de Lumen Black Lotus Labs en un informe publicado el jueves.
El Subsistema de Windows para Linux, lanzado en agosto de 2016, es una capa de compatibilidad diseñada para correr ejecutables binarios de Linux (en formato ELF) de forma nativa en la plataforma Windows sin la sobrecarga de una máquina virtual tradicional o una configuración de arranque dual.
Los primeros artefactos datan del 3 de mayo de 2021, con una serie de binarios de Linux cargados cada dos o tres semanas hasta el 22 de agosto de 2021. No solo las muestras se escriben en Python 3 y se convierten en un ejecutable ELF con PyInstaller, sino que los archivos también están orquestados para descargar shellcode desde un servidor de comando y control remoto y emplear PowerShell para llevar a cabo actividades de seguimiento en el host infectado.
Esta carga útil secundaria de "shellcode" se inyecta en un proceso de Windows en ejecución mediante llamadas a la API de Windows para lo que Lumen describió como "ejecución de archivos binarios de ELF a Windows", pero no antes de que la muestra intente eliminar los productos antivirus sospechosos y las herramientas de análisis que se ejecutan en la máquina. Además, el uso de bibliotecas estándar de Python hace que algunas de las variantes sean interoperables tanto en Windows como en Linux.
"Hasta ahora, hemos identificado un número limitado de muestras con sólo una dirección IP públicamente enrutable, lo que indica que esta actividad tiene un alcance bastante limitado o potencialmente aún está en desarrollo", dijeron los investigadores. "A medida que las fronteras que antes eran distintas entre los sistemas operativos continúan volviéndose más nebulosas, los actores de amenazas aprovecharán las nuevas superficies de ataque".
