El subsistema de Windows para Linux (WSL) se está convirtiendo en un caldo de cultivo para el malware, dicen los investigadores de ciberseguridad.
Si bien el malware basado en WSL no es particularmente nuevo (detectado en septiembre de 2023), últimamente ha ido ganando popularidad entre los ciberdelincuentes. Hablando a BleepingEquipolos investigadores de ciberseguridad de Lumen Technologies dijeron que han logrado rastrear más de 100 muestras desde entonces.
Las muestras varían en complejidad, así como en las características que se ofrecen. Si bien algunos son relativamente simples, otros permiten que los actores de amenazas accedan de forma remota a los dispositivos, ejecuten código arbitrario, roben cookies de autenticación de navegadores específicos o descarguen archivos.
Bajas tasas de detección
Algunas variantes están diseñadas como malware de etapa uno, lo que permite a los actores de amenazas tomar capturas de pantalla y obtener información del sistema, lo que les ayuda a determinar los próximos pasos en el compromiso, afirmaron además los investigadores. Otros están construidos como herramientas puras de espionaje.
La peor parte es que estas variantes de malware son relativamente difíciles de detectar, aunque generalmente se basan en un código que está disponible para el público en general. De hecho, Black Lotus Labs de Lumen Technologies descubrió recientemente que de 57 soluciones antivirus (se abre en una pestaña nueva) puesto a prueba, solo dos marcaron estas variantes como maliciosas.
Todas estas cosas (más características, persistencia, bajas tasas de detección) hacen que el malware basado en WSL sea una amenaza real, concluyeron los investigadores, especialmente con una infraestructura de servidor C2 activa.
Aquellos interesados en mantenerse a salvo del malware basado en WSL, BleepingEquipo enfatizado, necesita monitorear de cerca la actividad del sistema (SysMon, por ejemplo) y buscar sucesos sospechosos.
WSL se presentó por primera vez en 2023, junto con Windows 10 Anniversary Update. Se describió como una nueva forma de acceder a las herramientas GNU y Linux, sin necesidad de dos sistemas operativos separados. Si bien al principio no brindaba acceso completo al kernel de Linux, esto fue posible a mediados de 2023, cuando se lanzó WSL 2.
Vía BleepingComputer (se abre en una pestaña nueva)