Cuidado con este nuevo malware: el malware Wslink se ejecuta como un servidor y ejecuta módulos en la memoria

Un nuevo malware de tipo ‘loader’ conocido como Wslink ha sido detectado recientemente en diferentes equipos de Europa Central, Norteamérica y Oriente Medio, haciendo saltar las alarmas de diferentes empresas de ciberseguridad en todo el mundo. Este nuevo malware funciona como un servidor y es capaz de ejecutar módulos en la memoria del dispositivo infectado, lo que lo convierte en una ciberamenaza de bastante gravedad si no se implementan medidas adecuadas para contrarrestarlo en los diferentes tipos de software de ciberseguridad.

¿Qué es un ‘loader’ y cómo funciona?

Por sí solo, un ‘loader’ no es necesariamente un malware dañino, en el sentido de que no cuenta con una programación diseñada para causar daños en los equipos infectados. Esencialmente, un ‘loader’ es un tipo de software que se encarga de cargar programas y librerías en un sistema para su posterior ejecución, y, de hecho, los ‘loaders’ son parte esencial de cualquier sistema operativo. El problema viene cuando se utiliza este tipo de software de forma maliciosa con la intención de cargar código dañino en el software infectado por el ‘loader’, de manera que, a través de este tipo de aplicaciones, es posible ejecutar cualquier tipo de malware en el sistema de la víctima.

¿Qué es Wslink y cuáles son sus riesgos?

Es dentro de este contexto que encontramos un virus de tipo ‘loader’ como Wslink, detectado por una firma de ciberseguridad eslovaca y denominado así por sus especialistas. Wslink está diseñado para ser ejecutado como un servicio y, cuando esto ocurre, procede a descargar archivos encriptados de una dirección IP en específico y a desencriptarlos en la memoria del dispositivo infectado. Esto se produce mediante un ‘handshake’ que tiene lugar entre el servidor del que proceden los archivos y el equipo infectado, incluyendo el intercambio de las claves criptográficas necesarias para la operación.

La necesidad de protegerse frente a este tipo de ciberamenazas

Debido a que este tipo de ciberamenazas pueden surgir en cualquier momento, solo los sistemas de ciberseguridad más avanzados permiten detectar sus actividades en el sistema cuando todavía no han sido incluidas en bases de datos de acceso global. De esta forma, la contratación de servicios anti-malware de primera línea pasa a ser una herramienta preventiva fundamental tanto para los usuarios particulares como para las grandes empresas que pueden verse afectadas por este tipo de software dañino, sobre todo en el caso de que el ‘loader’ se utilice para cargar un tipo de software más popular como un troyano, un adware o un ransomware, los malwares que pasarían a causar el daño real en el dispositivo infectado.

Otras medidas de ciberseguridad esenciales

Además de contar con este tipo de herramientas anti-malware, también es de gran importancia mantener los equipos actualizados en todo momento, ya que con frecuencia este tipo de ‘loaders’ aprovechan vulnerabilidades no detectadas en el sistema operativo para realizar su labor de carga de software malicioso en los equipos infectados. Una actualización a tiempo puede evitar una infección posterior y mantener a salvo los datos almacenados en un equipo, de la misma manera que el uso de una VPN para Windows 10 o para macOS puede mantener a salvo los datos enviados o recibidos al navegar por internet gracias a su encriptación robusta de grado militar.

Un ‘loader’ malicioso que se suma a otros ya conocidos

El nuevo ‘loader’ descubierto y denominado como Wslink pasa a sumarse a otros ‘loaders’ populares como SQUIRRELWAFFLE, un software malicioso que se distribuye a través de campañas de spam de correo electrónico y, cuando consigue infectar un sistema, procede a desplegar los malwares Qakbot y Cobalt Strike. Ambos funcionan como malwares de acceso remoto o ‘troyanos’ que permiten a un atacante acceder al sistema infectado desde cualquier parte de la red e introducir nuevos tipos de malware o copiar los datos privados almacenados en el equipo.