O worm Houdini perigosa, foi transformado em uma nova variante apelidado WSH remoto Access Tool (RATO). Mais especificamente, o novo Malware é uma iteração do Houdini baseada em VBS também conhecido como H-Verme, que apareceu pela primeira vez em 2013.
O WSH RAT está atualmente visando clientes de bancos comerciais por meio de campanhas maliciosas de phishing contendo URLs, .arquivos zip ou .mht.
Segundo relatório de pesquisadores da Cofense, o RAT foi lançado em junho 2, e foi ativamente distribuído na natureza.
A nova variante do Houdini vem portada para JavaScript a partir da base de código original do Visual Basic do HWorm, segundo o relatório. Parece que o WSH pode ser uma referência ao Windows Script Host legítimo, o aplicativo usado para executar scripts em sistemas Windows.
Ferramenta de acesso remoto WSH: capacidades
disse brevemente, o malware pode ser usado em ataques de roubo de dados que visam coletar senhas de navegadores da web e clientes de e-mail. Outros recursos incluem controle remoto de máquinas comprometidas, Enviando, download e execução de arquivos, e executando vários scripts e comandos.
O WSH RAT também possui recursos integrados de keylogging e pode desabilitar a proteção antimalware e o UAC do Windows. Essas atividades podem ser realizadas simultaneamente em todos os hosts comprometidos por meio da emissão de comandos em lote. O preço atual do RAT é $50 para uma assinatura mensal.
Em termos de execução, WSH RAT se comporta da mesma maneira que Hworm, “até o uso de dados codificados em Base64 mutilados“, e está até utilizando a mesma estrutura de configuração que o Hworm usa para este processo.
além do que, além do mais, a configuração do RAT é uma cópia exata da configuração do Hworm. Mesmo os nomes padrão das variáveis padrão não foram alterados.
Nas campanhas que foram analisadas pela Cofense, os arquivos baixados tinham a extensão .tar.gz, mas eram, na verdade, arquivos executáveis PE32. Os três executáveis baixados incluíram um keylogger, um visualizador de credencial de correio, e um visualizador de credencial de navegador. É digno de nota que esses três módulos são retirados de terceiros e não são criados pelos operadores do WSH RAT.
A última iteração do Houdini mostra como é fácil comprar malware e usá-lo em ataques reais. “Com um pequeno investimento em uma infraestrutura de comando e controle barata e um malware como serviço fácil de comprar, um ator de ameaça com capacidades limitadas pode bater na porta de uma rede de grande empresa financeira em nenhum momento,”Concluíram os investigadores.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: