Дослідники безпеки виявили новий тип шкідливого програмного забезпечення, яке використовує підсистему windows для linux (wsl) як приховану атаку. Такі атаки можуть здійснюватися з використанням шкідливих двійкових файлів linux, причому цей спосіб раніше на практиці не застосовувався, але в теорії допускався. Проблема була виявлена дослідниками black lotus labs, які описують її як перший випадок, коли зловмисники зловживають wsl для встановлення додаткових модулів.
Дослідники ідентифікували кілька шкідливих файлів, які були написані в основному на python 3 і скомпільовані у форматі linux elf (executable and linkable format) для debian. Ці файли використовувалися в якості завантажувачів, які запускали корисне навантаження, а потім відбувалося впровадження шкідника в працюючий процес за допомогою windows api.
Примітно, що у знайдених зразків були низькі показники виявлення на virus total.
У той час, як один варіант завантажувача elf використовував чистий python, інший покладався на powershell для впровадження і виконання коду. Цей варіант все ще знаходиться в стадії досліджень і розробок. Дослідники безпеки стурбовані тим, що підсистема windows для linux дозволяє цим атакам легко вислизнути з поля зору і залишитися абсолютно непоміченими. Більш детальну інформацію про цей тип атаки можна дізнатися в блозі black lotus labs.
