Phishing-Angriffe verbreiten WSH RAT, Houdini Neue Version
CYBER NEWS

Phishing-Angriffe verbreiten WSH RAT, Houdini Neue Version


Die gefährliche Houdini Wurm hat sich zu einer neuen Variante genannt WSH Remote Access-Tool verwandelt (RAT). Genauer, Die neue Malware ist eine Iteration des VBS-basierten Houdini auch als H-Worm bekannt, das erschien zuerst wieder in 2013.

Der WSH RAT zielt derzeit kommerzielle Bankkunden über bösartige Phishing-Kampagnen mit URLs, .zip oder MHT-Dateien.




Laut einem Bericht von Cofense Forscher, Die Ratte wurde auf Juni veröffentlicht 2, und es hat sich in der freien Natur aktiv verteilt.

Die neue Houdinis Variante kommt aus HWorm ursprünglichen Code-Basis von Visual Basic JavaScript portiert, so der Bericht. Es scheint, dass WSH ein Verweis auf die legitimen Windows Script Host sein kann, die Anwendung verwendet Skripte auf Windows-Systemen ausführen.

WSH Remote Access-Tool: Fähigkeiten

Kurz gesagt, die Malware kann in Daten-Diebstahl-Attacken verwendet werden, die von Web-Browsern und E-Mail-Clients zu ernten Passwörter Ziel. Weitere Funktionen umfassen Fernbedienung über kompromittiert Maschinen, Hochladen, Herunterladen und Ausführen von Dateien, und Ausführen verschiedener Skripte und Befehle.

Der WSH RAT hat auch Fähigkeiten Keylogging-in gebaut und Anti-Malware-Schutz deaktivieren und den Windows-UAC. Diese Aktivitäten können über die Ausgabe Batch-Befehle gleichzeitig auf allen kompromittierten Rechner ausgeführt werden. Der aktuelle Preis des RATES $50 für ein monatliches Abonnement.

verbunden: Einige Phishing-E-Mails haben eine fast 100 Prozent Klickrate

In Bezug auf die Ausführung, WSH RAT verhält sich in der gleichen Weise wie Hworm, “bis auf die Verwendung von verstümmelten Base64 codierten Daten“, und es verwendet auch die gleiche Konfiguration Struktur, die Hworm für diesen Prozess verwendet.

Außerdem, die Konfiguration des RAT ist eine exakte Kopie der Hworm Konfiguration. Selbst die Standardnamen der Standardvariablen nicht verändert wurde.

In den Kampagnen, die von Cofense analysiert, die heruntergeladenen Dateien hatte die Erweiterung .tar.gz aber waren in der Tat PE32 ausführbare Dateien. Die drei heruntergeladene ausführbare Dateien enthalten einen Keylogger, ein Mail-Credential-Viewer, und ein Browser Credential-Viewer. Es ist bemerkenswert, dass diese drei Module von Dritten übernommen werden und nicht von der WSH Ratte Betreiber erstellt.

Die neueste Houdini Iteration zeigt, wie einfach es Malware zu kaufen ist und es in der tatsächlichen Angriffe nutzen. "Mit einer kleinen Investition in billigen Kommando- und Kontrollinfrastruktur und einen einfach zu kaufen Malware-as-a-Service, eine Bedrohung Schauspieler mit ansonsten begrenzten Fähigkeiten können in kürzester Zeit an die Tür eines großen Finanz Unternehmens-Netzwerk klopfen,“Die Forscher stellten fest.

Avatar

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der mit SensorsTechForum ist seit 4 Jahre. Genießt ‚Mr. Robot‘und Ängste‚1984‘. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...