Киберпреступники продолжают проявлять интерес к слою совместимости Windows Subsystem for Linux (WSL), который предназначен для запуска Linux-приложений в системе Windows. На этот раз злоумышленники разработали вредоносную программу, способную красть cookies аутентификации.

Свежий WSL-вредонос, как выяснили эксперты, опирается на открытый исходный код и использует Telegram для связи с операторами. При этом атакующему открывается удалённый доступ к скомпрометированной системе.

Исследователи Black Lotus Labs утверждают, что им удалось зафиксировать более 100 образцов подобных зловредов с осени прошлого года. Два из проанализированных семплов вызывают особый интерес, поскольку способны функционировать как инструмент для удалённого доступа (RAT).

Специалисты также отметили, что один из свежих WSL-вредоносов основан на инструменте с открытым исходным кодом “RAT-via-Telegram Bot“, который предоставляет возможность контроля через мессенджер Telegram.

Кроме того, новый зловред может воровать файлы cookies, используемые для аутентификации, из браузеров Google Chrome и Opera. Загружать дополнительные файлы и запускать команды — всё это тоже может WSL-вредонос.

Среди дополнительных функциональных возможностей исследователи отметили снятие скриншотов и сбор информации (имя пользователя, версию ОС и IP-адрес). На площадке VirusTotal лишь два антивируса из 57 распознали вредоносную программу.

Источник: anti-malware