Обнаружен зловред, атакующий Windows через подсистему для Linux

Татьяна Никитина 17 Сентября 2021 - 15:22

Домашние пользователи

...

Анализ вредоносных ELF-файлов, проведенный в подразделении Black Lotus Labs компании Lumen Technologies, показал, что они предназначены для исполнения в среде WSL (Windows Subsystem for Linux). Необычный зловред работает как загрузчик, обеспечивая скрытную установку сторонних скриптов на Windows.

Первые образцы новой угрозы начали раздаваться в начале мая, последний вирусописатель загрузил на сервер в августе. Во всех случаях код написан на Python и ориентирован на Debian.

Полезная нагрузка, доставляемая WSL-зловредом, либо встроена в его код, либо загружается с удаленного сервера. Ее внедрение в целевой процесс Windows осуществляется через перехват API-функций.

В результате атаки в системе запускается вредоносный сценарий PowerShell или шелл-код. Один из сэмплов в ходе тестирования попытался, используя Python-функции, прибить процессы антивирусов и анализаторов, установить веб-шелл и запустить PowerShell-скрипт, отрабатывающий каждые 20 секунд.

Новоявленный зловред пока плохо детектится антивирусами. Образец, загруженный на VirusTotal меньше месяца назад, вызвал реакцию лишь у одного сканера из шести десятков. Прогон другого сэмпла через эту коллекцию дал нулевой результат. В Black Lotus Labs пояснили: настройки защитного софта для Linux не предполагают проверку бинарников на использование вызовов API Windows.

В Black Lotus Labs пояснили: у большинства систем защиты конечных устройств Windows нет сигнатур для анализа ELF-файлов. А настройки защитного софта для Linux не предполагают проверку бинарников на использование вызовов API Windows.

На настоящий момент активность WSL-зловреда минимальна; не исключено, что он пока находится в стадии разработки, с тестированием промежуточных вариантов. Исследователи выявили лишь один публичный IP-адрес, с которым резидентный вредонос контактировал в июне-июле (итальянский 185[.]63[.]90[.]137, динамические порты 39000 – 48000). География очагов заражения ограничена Францией и Эквадором.

Примечательно, что скрипт, обнаруженный в самом раннем образце, выводил жертве приветствие — «Пивет Саня».

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 16:43

Домашние пользователи Корпорации Персональный VPN Анонимайзеры Mozilla

В Firefox VPN убрали лимит трафика до конца лета

Mozilla решила устроить пользователям Firefox небольшие летние каникулы без ограничений по трафику. Корпорация объявила, что до 31 августа снимает лимит трафика для встроенного VPN-сервиса Firefox VPN. Обычно пользователи получают 50 ГБ в месяц, для большинства задач этого хватает.

Но на ближайшие почти три месяца счётчик отключают полностью: качай, стримь и путешествуй по интернету без оглядки на лимиты.

Заодно Mozilla расширила список доступных локаций до 28 стран. В него вошли Австралия, Бельгия, Дания, Финляндия, Сингапур и ряд других государств.

Представители интернет-гиганта объясняют решение просто: летом люди чаще путешествуют, подключаются к публичным сетям Wi-Fi в аэропортах, гостиницах и кафе, а значит, нуждаются в дополнительной защите трафика.

VPN позволяет не только шифровать соединение, но и получать доступ к привычным сервисам из других стран. Кроме того, пользователи Firefox могут отключать VPN для отдельных сайтов, если те работают с ним некорректно.

Впрочем, есть нюанс. Безлимитный режим — акция временная. Уже с 1 сентября ограничения вернутся, и пользователи снова получат стандартные 50 ГБ в месяц.

Есть и ещё одно ограничение. Firefox VPN доступен далеко не во всех странах мира. Mozilla отдельно напоминает, что сервис работает только в поддерживаемых регионах, список которых опубликован на сайте компании.

На фоне постоянных разговоров о блокировках, ограничениях и борьбе с VPN новость выглядит почти необычно. Пока одни сервисы режут доступ и вводят лимиты, Mozilla делает ровно наоборот.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!