Windows Subsystem for Linux (WSL), il componente di Windows 10 e 11 che permette di installare una distribuzione Linux, attira sempre più le attenzioni dei cybercriminali. I ricercatori dei Black Lotus Labs di Lumen Technologies hanno scoperto un nuovo malware che sfrutta un bot Telegram per rubare i cookie dai browser e altre informazioni sensibili. Per non correre rischi è sempre consigliata l’installazione di una soluzione di sicurezza che blocca questo tipo di minaccia, come Norton 360 Premium.
WSL bersaglio dei malware
I primi malware per WSL sono stati scoperti oltre un anno fa. Negli ultimi mesi sono stati individuate altre minacce e durante la scorsa settimana sono decisamente aumentate le segnalazioni relative ad un nuovo RAT (Remote Accesso Trojan) scritto in Python che permette ai malintenzionati di rubare i cookie di autenticazione da Chrome e Opera, eseguire comandi e scaricare file.
Il malware offre altre “funzionalità”: può scattare immagini dello schermo (screenshot), raccogliere informazioni sull’utente e sul computer (ad esempio, username, sistema operativo e indirizzo IP), scaricare moduli aggiuntivi. Si tratta chiaramente di attacchi effettuati a scopo di spionaggio. Il controllo del RAT avviene tramite bot Telegram.
Analizzando il codice sorgente, i ricercatori dei Black Lotus Labs hanno scoperto un indirizzo IP di Amazon Web Services utilizzato in precedenza da altri cybercriminali. Tuttavia non sono noti gli autori dei recenti attacchi. Il malware è ancora in sviluppo, quindi la sua diffusione è limitata. Ciò spiega perché, al momento, viene rilevato solo da due soluzioni di sicurezza. Dato che si prevedono attacchi in futuro, gli utenti dovrebbero subito prendere le necessarie misure preventive.