危険なHoudiniワームは、WSHリモートアクセスツールと呼ばれる新しい亜種に変換されました (ねずみ). すなわち, 新しいマルウェアは、H-Wormとしても知られるVBSベースのHoudiniの反復です。, 最初に登場したのは 2013.
WSH RATは現在、URLを含む悪意のあるフィッシングキャンペーンを介して商業銀行の顧客をターゲットにしています, .zipまたは.mhtファイル.
Cofenseの研究者による報告によると, RATは6月にリリースされました 2, そしてそれは野生で活発に配布されています.
新しいHoudiniのバリアントは、HWormの元のVisualBasicコードベースからJavaScriptに移植されています。, レポートによると. WSHは正規のWindowsScriptHostへの参照である可能性があります, Windowsシステムでスクリプトを実行するために使用されるアプリケーション.
WSHリモートアクセスツール: 機能
すぐに言った, このマルウェアは、Webブラウザや電子メールクライアントからパスワードを収集することを目的としたデータ盗難攻撃に使用される可能性があります. その他の機能には、侵害されたマシンのリモート制御が含まれます, アップロード, ファイルのダウンロードと実行, さまざまなスクリプトやコマンドを実行します.
WSH RATにはキーロガー機能も組み込まれており、マルウェア対策保護とWindowsUACを無効にすることができます。. これらのアクティビティは、バッチコマンドを発行することにより、侵害されたすべてのホストで同時に実行できます。. RATの現在の価格は $50 月額サブスクリプションの場合.
実行に関して, WSHRATはHwormと同じように動作します, “マングルされたBase64エンコードデータの使用に至るまで“, また、Hwormがこのプロセスに使用するのと同じ構成構造を利用しています。.
加えて, RATの構成は、Hwormの構成の正確なコピーです。. デフォルト変数のデフォルト名も変更されていません.
Cofenseによって分析されたキャンペーンで, ダウンロードされたファイルの拡張子は.tar.gzでしたが、実際にはPE32実行可能ファイルでした. ダウンロードされた3つの実行可能ファイルには、キーロガーが含まれていました, メールクレデンシャルビューア, およびブラウザクレデンシャルビューア. これらの3つのモジュールはサードパーティから取得されたものであり、WSHRATのオペレーターによって作成されたものではないことに注意してください。.
最新のHoudiniの反復は、マルウェアを購入して実際の攻撃に使用することがいかに簡単かを示しています. 「「安価なコマンドアンドコントロールインフラストラクチャへの少額の投資と、サービスとしてのマルウェアの購入が容易, 他の方法では機能が制限されている脅威アクターは、すぐに大規模な金融会社のネットワークのドアをノックする可能性があります,」研究者たちは結論を下した.