新的恶意软件以Windows Linux子系统为目标，以逃避检测

已经为Windows Linux子系统（WSL）创建了大量恶意样本，目的是破坏Windows机器，突出显示了一种偷偷摸摸的方法，允许操作员不受监视，并阻止流行反恶意软件引擎的检测。

“独特的交易工艺”标志着首次发现威胁参与者滥用WSL安装后续有效载荷。

Lumen Black Lotus Labs的研究人员在周四发布的一份报告中说：“这些文件充当加载程序，运行一个负载，该负载要么嵌入在样本中，要么从远程服务器检索，然后使用Windows API调用注入正在运行的进程。”。

Windows Subsystem for Linux于2016年8月推出，是一个兼容层，旨在在Windows平台上以本机方式运行Linux二进制可执行文件（ELF格式），而无需传统虚拟机或双启动设置的开销。

最早的文物可以追溯到2021年5月3日，一系列的Linux二进制文件每两到三个星期上传到2021年8月22日。这些示例不仅是用Python 3编写的，并通过PyInstaller转换为ELF可执行文件，而且还对这些文件进行了编排，以便从远程命令和控制服务器下载外壳代码，并利用PowerShell在受感染的主机上执行后续活动。

然后，使用Lumen所说的“ELF到Windows二进制文件执行”的Windows API调用，将此二级“外壳代码”负载注入正在运行的Windows进程，但在示例尝试终止计算机上运行的可疑防病毒产品和分析工具之前，不会这样做。此外，标准Python库的使用使得一些变体可以在Windows和Linux上进行互操作。

研究人员说：“到目前为止，我们已经确定了数量有限的样本，其中只有一个可公开路由的IP地址，这表明这种活动的范围非常有限，或者可能仍在开发中。”。“随着操作系统之间曾经截然不同的界限继续变得更加模糊，威胁参与者将利用新的攻击面。”