پژوهشگران امنیتی، حملات فیشینگ فعالی را کشف کردهاند که در حال انتشار بدافزار دسترسی از راه دور -RAT هستند و مشتریان بانکی را با کلیدنگارها keylogger و سرقتکنندگان اطلاعات هدف قرار میدهد.
این بدافزار جدید که توسط ایجاد کننده ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم هودینی H-worm مبتنی بر VBS ویژوال بیسیک اسکریپت است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.
تیم تحقیقاتی کافنس، کسانی که این بدافزار را کشف کردند، اظهار داشتند: بدافزار WSH احتمالاً به اسکریپت ویندوز ربط داده میشود و برنامهای است که برای اجرای اسکریپتها روی دستگاههای ویندوز نصب میشود.
علاوه بر این سرعت انتشار WSH RAT بسیار بالا است، به طوری که با وجود شروع انتشار در ۲ ژوئن، در حال حاضر توسط یک عملیات فیشینگ و در قالب URLهای مخرب و همچنین فایلهای MHT وZIP توزیع میشود.
افزون بر این، این بدافزار به عوامل خود اجازه انجام حملاتی را میدهد که قادر به سرقت گذرواژهها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانههای مورد هدف از راه دور، بارگذاری، دانلود و اجرای فایلها و همچنین اجرای اسکریپتها و دستورات از راه دور هستند.
حملات فیشینگ توزیعکننده ضمیمههای ایمیل مخرب WSH RAT که در قالبهای URL،ZIP و یا MHT هستند، مشتریان بانکهای تجاری را با هدایت آنان به سمت دانلود فایلهای ZIP حاوی این بدافزار، هدف قرار میدهند.
شایان ذکر است، پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، این بدافزار جدید سه محتوای مخرب را روی ماشینهای آسیبدیده قربانیان در قالب فایلهای اجرایی PE۳۲ و تحت پوشش آرشیوهای tar.gz، به عنوان بخشی از مرحله دوم حمله، بارگیریکرده و روی سیستم قربانی قرار میدهد.
این سه ابزار مخرب کلیدنگار keylogger، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتورهای عملیات مخرب برای جمعآوری مدارک و سایر اطلاعات حساس از آنها استفاده میکنند.
بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بینبردن روشهای ضد بدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دستهای دستورات را به همه قربانیان حمله امکانپذیر میکند.
در حال حاضر، سازندگان بدافزار WSH RAT، آن را تحت یک مدل اشتراکی به فروش میرسانند و تمام امکانات موجود در آن را برای خریدارانی که مایل به پرداخت ۵۰دلار در ماه هستند، فعال میکنند.
