A união entre o Windows e o Linux parecia ser uma das melhores apostas da Microsoft dos últimos anos. De forma transparente, estes 2 sistemas uniram-se e dão aos utilizadores funcionalidades que até agora não se misturavam.
A Microsoft tem assumido os desenvolvimentos e a manutenção desta proximidade e agora tem um problema em mãos. Do que foi revelado, existe uma falha de segurança a ser explorada e que permite que o Linux da Microsoft possa ser usado para atacar o Windows.
WSL usado para atacar o Windows
Como novidade do Windows, o WSL tem sido encarado como uma nova porta de entrada para os atacantes. Estes têm estado a explorar o que o Linux da Microsoft lhes pode oferecer para assim desenvolverem a sua atividade e atacar os utilizadores.
A prova disso está num novo ataque que foi descoberto e que estará a ser explorado pelos atacantes. Usa o WSL e recorrendo a malware baseado em código-fonte aberto, encaminha as comunicações para o Telegram e fornece ao agente remoto acesso e controlo do sistema comprometido.
Malware usa o Linux para obter dados
Estes binários maliciosos do Linux para WSL foram descobertos pela primeira vez há mais de um ano. Desde então, o seu número cresceu de forma constante, com as variantes a terem baixas taxas de deteção, apesar de serem baseadas em código disponível publicamente.
Um dos exemplos mais recentes usa uma ferramenta de código aberto baseada em Python chamada RAT-via-Telegram Bot. Esta permite o controle sobre o Telegram e vem com funções para roubar cookies de autenticação dos browsers Chrome e Opera, bem como consegue executar comandos ou descarregar arquivos.
Microsoft nem sempre deteta estes ataques
Sabe-se que este malware tem um token de bot e um ID de conversa, indicando um mecanismo ativo de comando e controle. Além disso, pode ter funções adicionais que incluem fazer capturas de ecrã e obter informações (nome de utilizador, endereço IP, versão do SO), o que ajuda o invasor a determinar que malwares ou utilitários podem ser usados na próxima fase do ataque.
A recomendação geral para os utilizadores se defenderem contra ameaças baseadas em WSL é ficar atentos à atividade do sistema. Assim podem determinar atividades suspeitas e investigar comandos que estejam a ser usados.