Bir çeşit yükleyici olan ziyanlı yazılımın bu çeşidi, etkilediği makinelere öteki çalıştırılabilir evrakları yüklüyor; makûs gayeli bir kod modülü, program, olarak kullanılıyor. Ziyanlı yazılım direkt belleği hedefliyor. ESET geçtiğimiz iki yıl içerisinde telemetrisinde sırf birkaç tane Wslink örneği gördü. Tespit edilen örnekler Orta Avrupa, Kuzey Amerika ve Orta Doğu’da yer alıyor.
Wslink’i keşfeden ESET araştırmacısı Vladislav Hrčka bahis ile ilgili şunları söylemiş oldu: “Wslink, sıradan lakin kayda kıymet bir yükleyici. Çoklukla karşılaştığımız öbür yükleyicilerden farklı olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden ötürü bu yeni makûs gayeli yazılıma Wslink ismini verdik.”
Bu aracın bilinen bir tehdit aktörü kümesinden olduğuna dair bir kod, fonksiyon yahut operasyonel benzerlik bulunmuyor. Ayrıyeten modülleri bağlantı, anahtarlar ve soketler için yükleyici fonksiyonlarını bir daha kullanıyor; ötürüsıyla yeni giden ilişkileri başlatmaları gerekmiyor. Wslink, ele geçirilen bilgileri korumak için güzel geliştirilmiş bir kriptografik protokole de sahip.
Hrčka bu durumu şu biçimde açıklıyor: “Kötü emelli yazılım tahlili konusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış fonksiyonlarının nasıl yeniden kullanılabileceğini ve bu fonksiyonlarla nasıl etkileşime geçilebileceğini gösteriyor. Ayrıyeten tahlilimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak niteliğinde.” İstemci ile ilgili tam kaynak kodu, WslinkClient GitHub depomuzda mevcut.
Wslink’i keşfeden ESET araştırmacısı Vladislav Hrčka bahis ile ilgili şunları söylemiş oldu: “Wslink, sıradan lakin kayda kıymet bir yükleyici. Çoklukla karşılaştığımız öbür yükleyicilerden farklı olarak bir sunucu olarak çalışıyor ve alınan modülleri bellekte yürütüyor. DLL’lerinin birinden ötürü bu yeni makûs gayeli yazılıma Wslink ismini verdik.”
Bu aracın bilinen bir tehdit aktörü kümesinden olduğuna dair bir kod, fonksiyon yahut operasyonel benzerlik bulunmuyor. Ayrıyeten modülleri bağlantı, anahtarlar ve soketler için yükleyici fonksiyonlarını bir daha kullanıyor; ötürüsıyla yeni giden ilişkileri başlatmaları gerekmiyor. Wslink, ele geçirilen bilgileri korumak için güzel geliştirilmiş bir kriptografik protokole de sahip.
Hrčka bu durumu şu biçimde açıklıyor: “Kötü emelli yazılım tahlili konusunda yeni başlayanların ilgisini çekebileceğini düşündüğümüz, kendi sürümümüz olan bir Wslink istemcisi oluşturduk. Bu istemci, yükleyicinin çıkış fonksiyonlarının nasıl yeniden kullanılabileceğini ve bu fonksiyonlarla nasıl etkileşime geçilebileceğini gösteriyor. Ayrıyeten tahlilimiz, siber güvenlik koruyucuları için bu tehditle ilgili bilgilendirici bir kaynak niteliğinde.” İstemci ile ilgili tam kaynak kodu, WslinkClient GitHub depomuzda mevcut.