Los investigadores de ciberseguridad arrojaron más luz sobre un cargador malicioso que se ejecuta como un servidor y ejecuta los módulos recibidos en la memoria, dejando al descubierto la estructura de una «máquina virtual avanzada de varias capas» utilizada por el malware para pasar desapercibida.
Wslink, como se llama el cargador malicioso, fue documentado por primera vez por la empresa de ciberseguridad eslovaca ESET en octubre de 2021, con muy pocos accesos de telemetría detectados en los últimos dos años en Europa Central, América del Norte y Oriente Medio.
El análisis de las muestras de malware ha arrojado pocas o ninguna pista sobre el vector de compromiso inicial utilizado, y no se ha descubierto ningún código, funcionalidad o similitudes operativas que sugieran que se trata de una herramienta de un actor de amenazas previamente identificado.
Equipado con una utilidad de compresión de archivos llamada NsPack, Wslink hace uso de lo que se llama un máquina virtual de proceso (VM), un mecanismo para ejecutar una aplicación de una manera independiente de la plataforma que abstrae el hardware o el sistema operativo subyacente, como un método de ofuscación pero con una diferencia crucial.
«Máquinas virtuales utilizadas como motores de ofuscación […] no están destinados a ejecutar aplicaciones multiplataforma y, por lo general, toman código de máquina compilado o ensamblado para un conocido ES UN [instruction set architecture]desensamblarlo y traducirlo a su propio ISA virtual», dijo el analista de malware de ESET Vladislav Hrčka dijo.
«La fuerza de esta técnica de ofuscación reside en el hecho de que el ISA de la VM es desconocido para cualquier posible ingeniero inverso: se requiere un análisis exhaustivo de la VM, que puede llevar mucho tiempo, para comprender el significado de las instrucciones virtuales. y otras estructuras de la VM».
Además, el paquete de malware Wslink virtualizado viene con un arsenal diverso de tácticas para obstaculizar la ingeniería inversa, incluido el código basura, la codificación de operandos virtuales, la combinación de instrucciones virtuales y el uso de una máquina virtual anidada.
«Las técnicas de ofuscación son un tipo de protección de software destinada a hacer que el código sea difícil de entender y, por lo tanto, ocultar sus objetivos; las técnicas de ofuscación de máquinas virtuales se han vuelto ampliamente mal utilizadas para fines ilícitos, como la ofuscación de muestras de malware, ya que dificultan tanto el análisis como la detección», dijo Hrčka. dijo.