研究人員發現最新WSL惡意程式能竊取密碼、瀏覽器cookies

隨著Windows Subsystem for Linux的使用增加，WSL也成為惡意程式作者的新目標。安全廠商偵測到最新的WSL惡意程式，可從鍵盤側錄或螢幕擷圖竊取密碼、或是Chrome、Opera等瀏覽器cookies的敏感資訊。

安全廠商Lumen旗下的Black Lotus實驗室去年9月首度發現針對WSL的威脅，證明Linux binary被用於在WSL載入惡意程式。而在今年3月又發現2隻以WSL為目標的新惡意程式。

研究人員指出，2隻新發現的WSL惡意程式樣本為遠端存取木馬（Remote Access Trojan, RAT），都結合從GitHub取得的開源專案以增進其攻擊，而且也都使用第三方合法服務對木馬下達攻擊指令，目的在躲避偵測。

其中一隻惡意程式內結合GitHub上的Discord Token Grabber專案，這類專案可用於竊取Discord、Chrome、Opera等瀏覽器驗證令牌或密碼，並傳到駭客的Discord帳號。以功能而言，這隻惡意程式還會鍵盤側錄、存取攝影機、取得螢幕擷圖、複製剪貼簿功能及執行任意指令等。

第二隻RAT則似乎利用GitHub上的Telegram-RAT專案。Telegram-RAT專案賦予它執行指令、上傳/下載檔案及取得儲存於磁碟的憑證資料的能力，並將RAT竊得的用戶電腦資訊傳回給攻擊者。研究人員指出，從它還有活動中的Telegram bot token和chat ID判斷，攻擊者的C&C伺服器控制機制也仍在使用中。

最新樣本的分析顯示，駭客藉由開源工具客製化，已為此類威脅增進多種能力，值得注意的是，兩者在VirusTotal的偵測率極低，前者在61項防毒引擎中只有3個偵測到，後者的偵測率則為9/62。

研究人員指出，由於執行WSL的用戶通常具有更高的網路權限，因此企業必須在日常運作中更加強防範。