De gevaarlijke Houdini worm is omgevormd tot een nieuwe variant genaamd WSH Remote Access Tool (RAT). Specifieker, de nieuwe malware is een herhaling van de VBS-gebaseerde Houdini ook wel H-worm, die eerst weer 2013.
De WSH RAT is momenteel gericht op commercial banking klanten via kwaadaardige phishing-campagnes met URL's, .zip of MHT bestanden.
Volgens een rapport van Cofense onderzoekers, De rat werd uitgebracht op juni 2, en is actief verspreid in het wild.
De nieuwe Houdini's variant komt geport naar JavaScript van originele codebase van Visual Basic HWorm's, aldus het rapport. Het lijkt erop dat WSH een verwijzing naar de legitieme Windows Script Host kan zijn, de applicatie die wordt gebruikt om scripts uit te voeren op Windows-systemen.
WSH Remote Access Tool: mogelijkheden
Kort gezegd, de malware kan worden gebruikt in-data te stelen aanvallen die gericht zijn op de oogst wachtwoorden van webbrowsers en e-mailclients. Andere mogelijkheden zijn afstandsbediening op gecompromitteerde machines, uploaden, het downloaden en uitvoeren van bestanden, en uitvoeren van diverse scripts en commando's.
De WSH RAT heeft ook een ingebouwde keylogging mogelijkheden en kunnen anti-malware bescherming en de Windows UAC uit te schakelen. Deze activiteiten kunnen gelijktijdig worden uitgevoerd op alle gecompromitteerde hosts via de uitgifte van batch commando's. De huidige prijs van de rat $50 voor een maandelijks abonnement.
In termen van executie, WSH RAT gedraagt zich op dezelfde manier als Hworm, “tot zijn gebruik van verminkte Base64 gecodeerde data“, en het is zelfs heeft die dezelfde configuratie structuur die Hworm gebruikt voor dit proces.
Bovendien, configuratie van de RAT is een exacte kopie van de configuratie van de Hworm's. Zelfs de standaard namen van de standaard variabelen niet zijn gewijzigd.
In de campagnes die werden geanalyseerd door Cofense, de gedownloade bestanden had de .tar.gz extensie, maar waren in feite PE32 uitvoerbare bestanden. De drie gedownloade uitvoerbare omvatte een keylogger, een mail credential kijker, en een browser credential kijker. Het is opmerkelijk dat deze drie modules van derden worden genomen en worden niet door de exploitanten van de WSH RAT's.
De nieuwste Houdini iteratie laat zien hoe gemakkelijk het is om malware te kopen en te gebruiken in de werkelijke aanslagen. "Met een kleine investering in goedkope commando en controle-infrastructuur en een easy-to-aankoop malware-as-a-service, een bedreiging acteur met een andere reden minder mogelijkheden kunnen kloppen op de deur van het netwerk van een grote financiële onderneming in een mum van tijd,”Concludeerden de onderzoekers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: