محققان از کشف بدافزارهای مخفی در زیرسیستم ویندوز برای لینوکس خبر می‌دهند

شرکت «بلک لوتوس لبز» با انتشار گزارشی از کشف بدافزارهای جدیدی خبر داده که با استفاده از زیرسیستم ویندوز برای لینوکس (WSL) سعی می‌کنند از دید ابزارهای امنیتی پنهان باقی بمانند.

زیرسیستم ویندوز برای لینوکس بالاخره در نسخه دومش کرنل واقعی لینوکس را به ویندوز آورد و اگرچه این اتفاق برای کسانی که نمی‌خواستند با بوت دوگانه روبرو باشند، خوشایند بود، ولی حالا مشخص شده که این زیرسیستم یک ریسک امنیتی را برای ویندوز به وجود آورده است.

WSL در سال ۲۰۱۶ همراه با آپدیت سالانه ویندوز ۱۰ منتشر شد تا دسترسی به ابزارهای گنو و لینوکس را در این سیستم عامل ممکن کند. WSL در ابتدا دسترسی واقعی به کرنل لینوکس را فراهم نمی‌کرد و از کرنلی بهره می‌برد که توسط مایکروسافت توسعه پیدا کرده بود و صرفا با لینوکس سازگاری داشت. ولی شرایط در سال ۲۰۱۹ با انتشار WSL 2 تغییر کرد.

اکنون محققان بلک لوتوس لبز می‌گویند این بدافزار از طریق فایل‌های ELF که برای توزیع لینوکسی دبیان توسعه یافته‌اند، پخش شده است. این فایل‌ها در برخی موارد حاوی سرباری هستند که کامپیوترهای شخصی (PC) را هدف قرار می‌دهند و در موارد دیگر سرباری دارند که از مرکز کنترل هدایت می‌شود.

بلک لوتوس لبز می‌گوید یکی از این فایل‌ها به‌صورت اختصاصی به زبان پایتون نوشته شده و از کتابخانه‌های استانداردی استفاده می‌کند که بستر حمله به سیستم‌های ویندوزی و لینوکسی را فراهم می‌سازد. یک فایل دیگر با استفاده از PowerShell به APIهای خاص ویندوز وصل می‌شود.

به گفته محققان این روش به هکرها اجازه می‌دهد بدون اینکه شناسایی شوند، در دستگاه قربانی فعالیت داشته باشند. ابزار VirusTotal هم تایید کرده که نرخ شناسایی این فایل‌ها در مقابل ۷۰ آنتی ویروس یک یا صفر بوده است. بلک لوتوس لبز حالا از کاربران خواسته تا در هنگام استفاده از WSL مراقب باشند و از نشر این نوع بدافزار به کامپیوتر سایر افراد جلوگیری کنند.