Den farlige Houdini ormen er blevet omdannet til en ny variant døbt WSH Remote Access Tool (RAT). Mere specifikt, den nye malware er en iteration af VBS-baserede Houdini også kendt som H-Worm, der først dukkede op igen i 2013.
Den WSH RAT øjeblikket rettet mod kommercielle banking kunder via ondsindede phishing kampagner, der indeholder URL'er, .zip eller .mht filer.
Ifølge en rapport fra Cofense forskere, RAT blev udgivet juni 2, og det har været aktivt distribueret i naturen.
Den nye Houdini variant kommer porteret til JavaScript fra HWorm oprindelige kodebase af Visual Basic, hedder det i rapporten. Det fremgår, at WSH kan være en henvisning til den legitime Windows Script Host, det program, der bruges til at udføre scripts på Windows-systemer.
WSH Remote Access Tool: Capabilities
Kort sagt, malwaren kan bruges i data-stjæle angreb, der har til formål at adgangskoder høst fra web-browsere og e-mail-klienter. Andre funktioner omfatter fjernbetjening over inficerede maskiner, upload, downloade og udførelse af filer, og udføre forskellige scripts og kommandoer.
Den WSH RAT har også indbygget keylogging kapaciteter og kan deaktivere anti-malware beskyttelse og Windows UAC. Disse aktiviteter kan udføres samtidigt på alle kompromitterede værter via udstedelse batchkommandoer. Den aktuelle pris på rotten $50 et månedligt abonnement.
Med hensyn til udførelse, WSH RAT opfører sig på samme måde som Hworm, “ned til sin brug af lemlæstede Base64 kodet data“, og det er endda udnytte den samme konfiguration struktur, Hworm bruger til denne proces.
Desuden, rottens konfiguration er en nøjagtig kopi af den Hworm konfiguration. Selv de standard navnene på de standard variabler er ikke blevet ændret.
I de kampagner, der blev analyseret ved Cofense, de downloadede filer havde .tar.gz forlængelse, men i virkeligheden var PE32 eksekverbare filer. De tre downloadede eksekverbare omfattede en keylogger, en mail legitimationsoplysninger fremviser, og en browser legitimationsoplysninger fremviser. Det er bemærkelsesværdigt, at disse tre moduler er taget fra tredjemand og er ikke skabt af WSH RAT operatører.
Den seneste Houdini iteration viser, hvor let det er at købe malware og bruge det i faktiske angreb. "Med en lille investering i billige kommando og kontrol-infrastruktur og en let-til-køb malware-as-a-service, en trussel skuespiller med ellers begrænset kapacitet kan banke på døren til en stor finansiel virksomheds netværk på ingen tid,”Forskerne konkluderede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: