Группа исследователей из Black Lotus Labs несколько вредоносных файлов, скомпилированных в двоичном формате Linux ELF (Executable and Linkable Format) под ОС Debian Linux. Необычно то, что проанализированные файлы предназначены для исполнения в среде WSL (Windows Subsystem for Linux).
WSL – это инструмент в Windows-системе, который предоставляет оболочку Linux, способную взаимодействовать с файловой системой Windows. По сути, в данном случае дистрибутив Linux можно рассматривать как приложение в ОС.
Найденные исследователями образцы работают как загрузчики, выполняющие полезную нагрузку, которая либо уже встроена в образец, либо будет получена с удаленного сервера. Вызывая различные API-системы Windows, вредоносный код встраивается в запущенный процесс Windows и тем самым устанавливает доступ к зараженной машине.
Как отмечают эксперты, код зловреда написан на Python, а в одном из образцов используются функции PowerShell для отключения антивирусного ПО и других средств обнаружения. Другой семпл, который скорее всего оказался тестовым, позабавил исследователей: кодом был предусмотрен вывод строки с текстом на русском языке «Привет Саня».
