Le ver dangereux Houdini a été transformé en une nouvelle variante baptisée WSH accès à distance outil (RAT). Plus précisement, le nouveau logiciels malveillants est une itération de la base de Houdini VBS-également connu sous le H-Worm, qui a d'abord paru dans retour 2013.
Le RAT WSH actuellement ciblant les clients des banques commerciales via des campagnes de phishing malveillants contenant des URL, .fichiers zip ou .mht.
Selon un rapport de chercheurs Cofense, la RAT a été libéré le Juin 2, et il a été activement distribué dans la nature.
La nouvelle variante de Houdini vient de JavaScript porté à codebase d'origine de HWorm de Visual Basic, le rapport. Il semble que WSH peut être une référence à l'hôte légitime de Windows Script, l'application utilisée pour exécuter des scripts sur les systèmes Windows.
WSH accès à distance outil: capacités
Peu dit, le logiciel malveillant peut être utilisé dans les attaques de vol de données qui visent à des mots de passe de récolte des navigateurs Web et les clients de messagerie. D'autres fonctions comprennent le contrôle à distance sur les machines compromises, L'ajout, le téléchargement et l'exécution de fichiers, et exécuter différents scripts et commandes.
Le WSH RAT a également intégré les capacités de keylogging et peut désactiver la protection anti-malware et Windows UAC. Ces activités peuvent être effectuées simultanément sur tous les hôtes vulnérabilisés par l'émission de commandes par lots. Le prix actuel du RAT est $50 pour un abonnement mensuel.
En termes d'exécution, RAT WSH se comporte de la même manière que Hworm, “jusqu'à son utilisation des données codées mutilé de base64“, et il est même en utilisant la même structure de configuration qui Hworm utilise pour ce processus.
En outre, la configuration de RAT est une copie exacte de la configuration du Hworm. Même les noms par défaut des variables par défaut ne sont pas modifiés.
Dans les campagnes qui ont été analysées par Cofense, les fichiers téléchargés ont l'extension .tar.gz mais étaient en fait des fichiers exécutables PE32. Les trois programmes téléchargés comprenaient un keylogger, une visionneuse d'informations d'identification de courrier, et une visionneuse d'informations d'identification du navigateur. Il est à noter que ces trois modules sont pris par des tiers et ne sont pas créés par les opérateurs du WSH RAT.
La dernière itération Houdini montre comment il est facile d'acheter des logiciels malveillants et de l'utiliser dans des attaques réelles. "Avec un petit investissement dans l'infrastructure commande pas cher et de contrôle et un logiciel malveillant-as-a-service facile à l'achat, un acteur de menace avec des capacités limitées sinon peut frapper à la porte du réseau d'une grande entreprise financière en peu de temps,» Les chercheurs ont conclu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: