Пользователи Windows испытывают особенный интерес к возможности запуска приложений Linux, чем и пользуются хакеры. По информации экспертов Black Lotus Labs, злоумышленники создали вредоносное программное ПО, которое скрывается под маской Windows Subsystem for Linux, предоставляя хакерам контроль над компьютером пользователя и возможность кражи файлов аутентификации.
Экспертам удалось выяснить, что новый вредонос WSL создавался на базе открытого кода. Для связи с владельцем, он пользуется популярным мессенджером Telegram, предоставляя ему полный доступ к системе, в которой он установлен. Кроме того, экспертам удалось обнаружить более 100 различных образцов этого вредоносного ПО, но 2 образца вызвали наибольший интерес специалистов, поскольку они работают на основе механизмов удаленного доступа RAT.
Помимо функции предоставления удаленного доступа к устройству для злоумышленника, новый вредонос WSL способен воровать у пользователя cookies-файлы, хранящиеся в браузерах, которые применяются для аутентификации на сайтах и ресурсах. Собирать данные о пользователе он может и при помощи скриншотов.
Эксперты отметили, что данный вредонос отличается поразительной незаметностью. В ходе тестирования было задействовано порядка 60 различных антивирусных программ, и только 2 из них смогли обнаружить его присутствие в системе.