مشتریان بانک‌ها هدف اصلی بدافزار جدیدWSH RAT

پژوهشگران امنیتی، حملات فیشینگ فعالی را کشف کرده‌اند که در حال انتشار بدافزار دسترسی از راه دور -RAT هستند و مشتریان بانکی را با کلیدنگارها keylogger و سرقت‌کنندگان اطلاعات هدف قرار می‌دهد.

این بدافزار جدید که توسط ایجاد کننده  ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم هودینی H-worm مبتنی بر VBS ویژوال بیسیک اسکریپت است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.

 تیم تحقیقاتی کافنس، کسانی که این بدافزار را کشف کردند، اظهار داشتند: بدافزار WSH احتمالاً به اسکریپت ویندوز ربط داده می‌شود و برنامه‌ای است که برای اجرای اسکریپت‌ها روی دستگاه‌های ویندوز نصب می‌شود.

علاوه بر این سرعت انتشار WSH RAT بسیار بالا است، به طوری که با وجود شروع انتشار در ۲ ژوئن‌، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL‌های مخرب و همچنین فایل‌های MHT و‌ZIP توزیع می‌شود.

افزون بر این، این بدافزار به عوامل خود اجازه انجام حملاتی را می‌دهد که قادر به سرقت گذرواژه‌ها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانه‌های مورد هدف از راه دور، بارگذاری، دانلود و اجرای فایل‌ها و همچنین اجرای اسکریپت‌ها و دستورات از راه دور هستند.

 حملات فیشینگ توزیع‌کننده ضمیمه‌های ایمیل مخرب WSH RAT که در قالب‌های URL،ZIP و یا MHT هستند، مشتریان بانک‌های تجاری را با هدایت آنان به سمت دانلود فایل‌های ZIP حاوی این بدافزار، هدف قرار می‌دهند.

 شایان ذکر است، پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، این بدافزار جدید سه محتوای مخرب را روی ماشین‌های آسیب‌دیده قربانیان در قالب فایل‌های اجرایی PE۳۲ و تحت پوشش آرشیوهای tar.gz، به عنوان بخشی از مرحله دوم حمله، بارگیری‌کرده و روی سیستم قربانی قرار می‌دهد.

 این سه ابزار مخرب کلیدنگار keylogger، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتورهای عملیات مخرب برای جمع‌آوری مدارک و سایر اطلاعات حساس از آن‌ها استفاده می‌کنند.

 بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بین‌بردن روش‌های ضد بدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دسته‌ای دستورات را به همه قربانیان حمله امکان‌پذیر می‌کند.

 در حال حاضر، سازندگان بدافزار WSH RAT، آن را تحت یک مدل اشتراکی به فروش می‌رسانند و تمام امکانات موجود در آن را برای خریدارانی که مایل به پرداخت ۵۰دلار در ماه هستند، فعال می‌کنند.

► سرقت اطلاعات ۱۷۲ کارت بانکی به بهانه درآمد زایی بالا با ترفند فیشینگ
بدافزار جاسوسی EvilGnome ◄