Vorsicht: Hacker haben das Windows Subsystem für Linux im Visier

Hacker zeigen ein zunehmendes Interesse am Windows Subsystem für Linux (WSL) als Angriffsfläche. Sicherheitsforscher entdeckten passend dazu neue Malware - einige dient zum Ausschnüffeln der Nutzer und zum Datendiebstahl, andere zum Laden weitere Schadsoftware. Das geht aus einem neuen Bericht des Online-Magazins Bleeping Computer hervor. Das Windows Subsystem für Linux entwickelt sich dabei nun zu einem "beliebten" Ziel für Hacker, vor allem, da WSL die Ausführung nativer Linux-Binärdateien unter Windows in einer Umgebung ermöglicht, die den Linux-Kernel emuliert.

Erst vor kurzem entdeckte WSL-basierte Malware-Beispiele basieren auf Open-Source-Code, der die Kommunikation über den Nachrichtendienst Telegram leitet und dem Bedrohungsakteur Fernzugriff auf das kompromittierte System ermöglicht. Sobald es dann Zugriff gibt, kann weitere Schadsoftware auf den PC geladen werden. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet Seit September 2021 steigt die Zahl solcher Angriffe stetig an. Ein Problem dabei ist allerdings, dass sie häufig gar nicht erkannt werden - damit, so befürchten die Sicherheitsforscher von Black Lotus Labs, gibt es eine erhebliche Grauzone. Black Lotus Labs erläuterte, dass sie seit letztem Herbst mehr als 100 Proben von WSL-basierter Malware aufgespürt haben. Einige seien fortgeschrittener als andere, und damit auch gefährlicher. Von den bisher analysierten Samples sind zwei besonders erwähnenswert, da sie als Remote Access Tool (RAT) fungieren oder eine Reverse Shell auf dem infizierten Host einrichten können.

Spionagetools zum Login-Klau

Zu den zusätzlichen Funktionen der Variante gehören das Erstellen von Screenshots und das Abgreifen von Benutzer- und Systeminformationen (Benutzername, IP-Adresse, Betriebssystemversion), mit deren Hilfe der Angreifer feststellen kann, welche Malware oder Dienstprogramme er in der nächsten Phase der Kompromittierung verwenden kann. Die dadurch mehrstufigen Angriffe bleiben vielfach so lange unentdeckt, bis es zu spät ist.

Laut Black Lotus Labs wurden die verwendeten Schadcode-Beispiele nur von zwei der 57 Antivirenprogramme auf Virus Total als bösartig eingestuft. Black Lotus Labs hat in der Vergangenheit schon davor gewarnt, dass Bedrohungsakteure WSL für ihre Zwecke erforschen. Wie weit das nun schon vorangeschritten ist, sieht man anhand der niedrigen Erkennungsraten von AV-Anbietern.

Die allgemeine Empfehlung zur Abwehr von WSL-basierten Bedrohungen lautet, die Systemaktivität genau im Auge zu behalten und dafür Tools wie SysMon zu nutzen, um verdächtige Aktivitäten schnell festzustellen.

Download Sysinternals Suite - Windows-Werkzeuge Siehe auch: Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, Sicherheitslücken, Darknet, Hacker Angriffe, Hacker Angriff, Hacken, Sicherheitsupdate, Attack, Kurs, Hacks, Crime, anti-malware, Russische Hacker, Cyberwar, China Hacker, Risiko, Malware Warnung, Cyberangriff, Sicherheitsrisiko, Sicherheitsproblem, Cyberattacke, Totenkopf, tot, Dead, Malware Found, Hazard, Skull