O worm Houdini perigosa, foi transformado em uma nova variante apelidado WSH remoto Access Tool (RATO). Mais especificamente, o novo Malware é uma iteração do Houdini baseada em VBS também conhecido como H-Verme, que apareceu pela primeira vez em 2013.
O WSH RAT está atualmente visando clientes de bancos comerciais por meio de campanhas maliciosas de phishing contendo URLs, .arquivos zip ou .mht.
Segundo relatório de pesquisadores da Cofense, o RAT foi lançado em junho 2, e foi ativamente distribuído na natureza.
A nova variante do Houdini vem portada para JavaScript a partir da base de código original do Visual Basic do HWorm, segundo o relatório. Parece que o WSH pode ser uma referência ao Windows Script Host legítimo, o aplicativo usado para executar scripts em sistemas Windows.
Ferramenta de acesso remoto WSH: capacidades
disse brevemente, o malware pode ser usado em ataques de roubo de dados que visam coletar senhas de navegadores da web e clientes de e-mail. Outros recursos incluem controle remoto de máquinas comprometidas, Enviando, download e execução de arquivos, e executando vários scripts e comandos.
O WSH RAT também possui recursos integrados de keylogging e pode desabilitar a proteção antimalware e o UAC do Windows. Essas atividades podem ser realizadas simultaneamente em todos os hosts comprometidos por meio da emissão de comandos em lote. O preço atual do RAT é $50 para uma assinatura mensal.
Em termos de execução, WSH RAT se comporta da mesma maneira que Hworm, “até o uso de dados codificados em Base64 mutilados“, e está até utilizando a mesma estrutura de configuração que o Hworm usa para este processo.
além do que, além do mais, a configuração do RAT é uma cópia exata da configuração do Hworm. Mesmo os nomes padrão das variáveis padrão não foram alterados.
Nas campanhas que foram analisadas pela Cofense, os arquivos baixados tinham a extensão .tar.gz, mas eram, na verdade, arquivos executáveis PE32. Os três executáveis baixados incluíram um keylogger, um visualizador de credencial de correio, e um visualizador de credencial de navegador. É digno de nota que esses três módulos são retirados de terceiros e não são criados pelos operadores do WSH RAT.
A última iteração do Houdini mostra como é fácil comprar malware e usá-lo em ataques reais. “Com um pequeno investimento em uma infraestrutura de comando e controle barata e um malware como serviço fácil de comprar, um ator de ameaça com capacidades limitadas pode bater na porta de uma rede de grande empresa financeira em nenhum momento,”Concluíram os investigadores.