El gusano peligroso Houdini se ha transformado en una nueva variante denominada WSH herramienta de acceso remoto (RATA). Más específicamente, el nuevo malware es una iteración de la Houdini basado en VBS también conocido como H-Worm, que apareció por primera vez en 2013.
El RAT WSH está dirigido a los clientes de banca comercial a través de campañas de phishing maliciosos que contienen direcciones URL, .archivos zip o .mht.
De acuerdo con un informe de investigadores Cofense, La rata fue liberado de junio 2, y se ha distribuido activamente en la naturaleza.
variante del nuevo Houdini viene portado a JavaScript del código base original del HWorm de Visual Basic, según el informe. Parece que WSH puede ser una referencia a la legítima de Windows Script Host, la aplicación utilizada para ejecutar secuencias de comandos en sistemas Windows.
WSH herramienta de acceso remoto: capacidades
Poco dicho, el malware puede ser utilizado en los ataques de robo de datos que tienen como objetivo la cosecha contraseñas de los navegadores web y clientes de correo electrónico. Otras capacidades incluyen el control remoto a través de máquinas comprometidas, subir, la descarga y ejecución de archivos, y la ejecución de secuencias de comandos diferentes y comandos.
El RAT WSH también ha incorporado en las capacidades de keylogger y se puede desactivar la protección anti-malware y el UAC de Windows. Estas actividades se pueden realizar de forma simultánea en todos los hosts comprometidos a través de la emisión de comandos por lotes. El precio actual de la rata se $50 por una suscripción mensual.
En cuanto a la ejecución, RAT WSH se comporta de la misma manera que Hworm, “abajo a su uso de los datos mangled Base64 codificado“, y es incluso la utilización de la misma estructura de configuración que Hworm utiliza para este proceso.
Adicionalmente, la configuración de la rata es una copia exacta de la configuración de la Hworm. Incluso los nombres predeterminados de las variables predeterminadas no se han alterado.
En las campañas que fueron analizados por Cofense, los archivos descargados tenían la extensión .tar.gz, pero eran en realidad los archivos ejecutables de PE32. Los tres ejecutables descargados incluyen un keylogger, un visor electrónico de credenciales, y un visor de navegador de credenciales. Es de destacar que estos tres módulos se toman de terceros y no son creados por los operadores de la rata WSH.
La última versión de Houdini muestra lo fácil que es comprar software malicioso y utilizarlo en los ataques reales. "Con una pequeña inversión en la infraestructura de comando barato y de control y un software malicioso-as-a-service fácil de compra, un actor de amenaza con capacidades limitadas de otra manera se puede llamar a la puerta de la red de una gran empresa financiera en ningún momento,”Concluyeron los investigadores.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: