Die gefährliche Houdini Wurm hat sich zu einer neuen Variante genannt WSH Remote Access-Tool verwandelt (RAT). Genauer, Die neue Malware ist eine Iteration des VBS-basierten Houdini auch als H-Worm bekannt, das erschien zuerst wieder in 2013.
Der WSH RAT zielt derzeit kommerzielle Bankkunden über bösartige Phishing-Kampagnen mit URLs, .zip oder MHT-Dateien.
Laut einem Bericht von Cofense Forscher, Die Ratte wurde auf Juni veröffentlicht 2, und es hat sich in der freien Natur aktiv verteilt.
Die neue Houdinis Variante kommt aus HWorm ursprünglichen Code-Basis von Visual Basic JavaScript portiert, so der Bericht. Es scheint, dass WSH ein Verweis auf die legitimen Windows Script Host sein kann, die Anwendung verwendet Skripte auf Windows-Systemen ausführen.
WSH Remote Access-Tool: Fähigkeiten
Kurz gesagt, die Malware kann in Daten-Diebstahl-Attacken verwendet werden, die von Web-Browsern und E-Mail-Clients zu ernten Passwörter Ziel. Weitere Funktionen umfassen Fernbedienung über kompromittiert Maschinen, Hochladen, Herunterladen und Ausführen von Dateien, und Ausführen verschiedener Skripte und Befehle.
Der WSH RAT hat auch Fähigkeiten Keylogging-in gebaut und Anti-Malware-Schutz deaktivieren und den Windows-UAC. Diese Aktivitäten können über die Ausgabe Batch-Befehle gleichzeitig auf allen kompromittierten Rechner ausgeführt werden. Der aktuelle Preis des RATES $50 für ein monatliches Abonnement.
In Bezug auf die Ausführung, WSH RAT verhält sich in der gleichen Weise wie Hworm, “bis auf die Verwendung von verstümmelten Base64 codierten Daten“, und es verwendet auch die gleiche Konfiguration Struktur, die Hworm für diesen Prozess verwendet.
Außerdem, die Konfiguration des RAT ist eine exakte Kopie der Hworm Konfiguration. Selbst die Standardnamen der Standardvariablen nicht verändert wurde.
In den Kampagnen, die von Cofense analysiert, die heruntergeladenen Dateien hatte die Erweiterung .tar.gz aber waren in der Tat PE32 ausführbare Dateien. Die drei heruntergeladene ausführbare Dateien enthalten einen Keylogger, ein Mail-Credential-Viewer, und ein Browser Credential-Viewer. Es ist bemerkenswert, dass diese drei Module von Dritten übernommen werden und nicht von der WSH Ratte Betreiber erstellt.
Die neueste Houdini Iteration zeigt, wie einfach es Malware zu kaufen ist und es in der tatsächlichen Angriffe nutzen. "Mit einer kleinen Investition in billigen Kommando- und Kontrollinfrastruktur und einen einfach zu kaufen Malware-as-a-Service, eine Bedrohung Schauspieler mit ansonsten begrenzten Fähigkeiten können in kürzester Zeit an die Tür eines großen Finanz Unternehmens-Netzwerk klopfen,“Die Forscher stellten fest.