Il pericoloso verme Houdini è stata trasformata in una nuova variante doppiato WSH strumento di accesso remoto (RAT). Più specificamente, il nuovo malware è un'iterazione del Houdini VBS basata anche noto come H-Worm, che prima apparizione nel 2013.
Il RAT WSH è attualmente di mira i clienti di banca commerciale attraverso campagne di phishing contenenti URL malevoli, .file zip o mht.
Secondo un rapporto da ricercatori Cofense, RAT è stato rilasciato nel giugno 2, ed è stato distribuito attivamente in natura.
Variante del nuovo Houdini viene portato su JavaScript dalla base di codice originale di HWorm di Visual Basic, dice il rapporto. Sembra che WSH potrebbe essere un riferimento alla legittima Windows Script Host, l'applicazione utilizzata per eseguire gli script su sistemi Windows.
WSH strumento di accesso remoto: funzionalità
Poco detto, il malware può essere utilizzato in attacchi di furto di dati che mirano a password raccolto dai browser web e client di posta elettronica. Altre funzionalità includono il controllo remoto su macchine compromesse, caricamento, il download e l'esecuzione di file, e l'esecuzione di vari script e comandi.
Il RAT WSH ha anche costruito di funzionalità di keylogging e può disattivare la protezione anti-malware e Windows UAC. Queste attività possono essere eseguite contemporaneamente su tutti gli host compromessi con emissione comandi batch. Il prezzo attuale del RAT è $50 per un abbonamento mensile.
In termini di esecuzione, WSH RAT si comporta nello stesso modo come Hworm, “giù all'uso delle Base64 dati mutilato“, ed è anche utilizzando la stessa struttura di configurazione che Hworm utilizza per questo processo.
In aggiunta, la configurazione del RAT è una copia esatta della configurazione del Hworm. Anche i nomi predefiniti delle variabili di default non sono state modificate.
Nelle campagne che sono stati analizzati da Cofense, i file scaricabili avevano l'estensione .tar.gz, ma erano in realtà file eseguibili PE32. I tre eseguibili scaricabili inclusi un keylogger, un visualizzatore di posta credenziale, e un visore del browser credenziale. E 'interessante notare che questi tre moduli sono presi da terzi e non sono creati da operatori del ratto WSH.
L'ultima iterazione Houdini mostra come sia facile per l'acquisto di malware e utilizzarlo in attacchi effettivi. "Con un piccolo investimento in comando a buon mercato e dell'infrastruttura di controllo e di un malware as-a-service di facile acquisto, un attore di minacce con funzionalità limitate altrimenti può bussare alla porta di rete di una grande società finanziaria in nessun tempo,”I ricercatori hanno concluso.