Windows子系统中的新型恶意软件威胁

关键要点

• 新兴威胁 ：Windows子系统被越来越多的网络攻击者利用作为恶意软件开发的新平台。
• 恶意样本增加 ：自去年秋季以来，超过100个基于WSL的恶意样本被检测到。
• 功能强大 ：某些恶意软件样本能提取浏览器的身份认证Cookies，并执行命令与文件下载。
• 检测率低 ：这些恶意软件的检测率极低，仅有部分安全软件能识别。

根据的报道，Windows子系统（WSL）正被威胁行动者越来越多地利用，成为新型恶意软件开发的攻击面。自从这些恶意Linux二进制文件被发现已有一年多，WSL上的恶意软件迅速增长，BlackLotus Labs自去年秋季以来报告了超过100个基于WSL的恶意软件样本。

其中一个重要样本利用了RAT-via-Telegram Bot的开源工具，不仅能够提取GoogleChrome和Opera的身份认证Cookies，还能够执行命令和进行文件下载。研究人员指出，这种利用了实时机器人令牌和聊天ID的恶意软件显示出活跃的命令与控制（C2）能力。此外，该报告显示该样本在VirusTotal上的57个杀毒引擎中，仅被两个标记为恶意。

与此同时，另一个基于WSL的恶意软件样本被发现能够在受感染设备上创建反向TCPShell，从而允许与攻击者进行通信。研究人员表示，新的WSL基础恶意软件“在有活跃C2基础设施的情况下，将具有较高的有效性，考虑到杀毒提供商的低检测率”。