Интерес хакеров к Windows Subsystem for Linux (WSL) как к поверхности атаки растет с каждым днем. Как сообщают специалисты из Black Lotus Labs компании Lumen Technologies, киберпреступники создают все более сложные вредоносные программы для шпионажа и загрузки дополнительных вредоносных модулей. Вредоносное ПО на базе WSL впервые было обнаружено более года назад (специалисты из Black Lotus Labs опубликовали свой отчет о новой угрозе в сентябре 2021 года). С тех пор количество подобных вредоносных программ продолжает расти, и, несмотря на то что в их основе лежит общественно доступный код, они редко детектируются решениями безопасности. Как сообщили исследователи порталу BleepingComputer, с осени прошлого года она отследили боле ста образцов вредоносного ПО на базе WSL. Из них два образца особенно интересны, поскольку могут выполнять функции трояна для удаленного доступа (RAT) и устанавливать на зараженном хосте обратную оболочку. Первый образец полагается на инструмент с открытым исходным кодом на языке Python под названием RAT-via-Telegram Bot, управлять которым можно через Telegram и который оснащен функциями похищения cookie-файлов аутентификации из браузеров Google Chrome и Opera, запуска команд и загрузки файлов. Кроме того, вредонос способен делать скриншоты, похищать пользовательские и системные данные (имя пользователя, IP-адрес, версия ОС), позволяющие хакерам определять, какую вредоносную утилиту лучше использовать на следующем этапе атаки. На момент проведения анализа вредоносного ПО исследователями из Black Lotus Labs только два антивирусных движка из 57 на Virus Total идентифицировали его как вредоносное. Второй недавно обнаруженный вредонос на базе WSL предназначен для установки обратной TCP-оболочки для связи с хакерами. Примечательно, что вредоносное ПО отображает всплывающее сообщение на турецком языке, которое можно перевести как «ты облажался и ничего не можешь поделать». Оба вышеописанных вредоноса могут использоваться для шпионажа и загружать дополнительные файлы, расширяющие их функционал.