Se ha descubierto una nueva puerta trasera asociada con un descargador de malware llamado Wslink, con la herramienta probablemente utilizada por el notorio Grupo Lazarus alineado con Corea del Norte, revelan nuevos hallazgos.
La carga útil, denominada WinorDLL64 por ESET, es un implante con todas las funciones que puede filtrar, sobrescribir y eliminar archivos; ejecutar comandos de PowerShell; y obtener información completa sobre la máquina subyacente.
Sus otras características incluyen la lista de sesiones activas, la creación y terminación de procesos, la enumeración de unidades y la compresión de directorios.
Wslink fue documentado por primera vez por la firma eslovaca de ciberseguridad en octubre de 2021, describiéndolo como un cargador de malware “simple pero notable” que es capaz de ejecutar módulos recibidos en la memoria.
“La carga útil de Wslink se puede aprovechar más tarde para el movimiento lateral, debido a su interés específico en las sesiones de red”, dijo el investigador de ESET, Vladislav Hrčka. “El cargador Wslink escucha en un puerto especificado en la configuración y puede servir a clientes de conexión adicionales, e incluso cargar varias cargas útiles”.
Se dice que las intrusiones que aprovechan el malware son altamente dirigidas debido al hecho de que solo se han observado un puñado de detecciones hasta la fecha en Europa Central, América del Norte y Medio Oriente.
En marzo de 2022, ESET explicó el uso del malware de una “máquina virtual multicapa avanzada” ofuscador para evadir la detección y resistir la ingeniería inversa.
Los vínculos con Lazarus Group provienen de superposiciones en el comportamiento y el código con el de campañas anteriores, Operación GhostSecret y Bankshot, que se han atribuido a la amenaza persistente avanzada.
Esto incluye similitudes con las muestras de GhostSecret detalladas por McAfee en 2018, que vienen con un “componente de recopilación de datos e instalación de implantes” que se ejecuta como un servicio, reflejando el mismo comportamiento de Wslink.
ESET dijo que la carga útil se cargó en la base de datos de malware VirusTotal desde Corea del Sur, donde se encuentran algunas de las víctimas, lo que agrega credibilidad a la participación de Lazarus.
Los hallazgos son una vez más demostrativos del vasto arsenal de herramientas de piratería empleadas por el Grupo Lazarus para infiltrarse en sus objetivos.
“La carga útil de Wslink se dedica a proporcionar medios para la manipulación de archivos, la ejecución de código adicional y la obtención de información extensa sobre el sistema subyacente que posiblemente se pueda aprovechar más adelante para el movimiento lateral”, dijo ESET.
