بدافزاری به نام WSH RAT شناسایی شدهاست که مشتریان بانکی را با کلیدنگارها و سرقتکنندگان اطلاعات هدف قرار میدهد.
منبع : مرکز مدیریت راهبردی افتا
بدافزاری به نام WSH RAT شناسایی شدهاست که مشتریان بانکی را با کلیدنگارها و سرقتکنندگان اطلاعات هدف قرار میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی حملات فیشینگ فعالی را کشف کردهاند که در حال انتشار تروجان دسترسی از راه دور (RAT) جدیدی بوده و مشتریان بانکی را با کلیدنگارها و سرقتکنندگان اطلاعات هدف قرار میدهد.
این بدافزار جدید که ابزار دسترسی از راه دور WSH نامگذاری شدهاست، نوعی کرم (Houdini (H-Worm مبتنیبر VBS (ویژوال بیسیک اسکریپت) است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شدهاست.
WSH RAT به غیر از انتقال به جاوااسکریپت، استفاده از یک رشته کاربر-عامل متفاوت و شاخص متمایز در ارتباط با سرور فرمان و کنترل (C2) خود، مشابه H-Worm است. WSH ظاهرا ارجاعی به میزبان اسکریپت مجاز ویندوز (Windows Script host) است که در حقیقت برنامهای برای اجرای اسکریپتها روی دستگاههای ویندوزی است. علاوهبر این، سرعت انتشارWSH RAT بسیار بالاست، بهطوریکه با وجود شروع انتشار در دوم ژوئن، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL های مخرب و همچنین فایلهای MHT و ZIP توزیع میشود.
این تروجان به عوامل خود اجازه انجام حملاتی را میدهد که قادر به سرقت گذرواژهها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانههای اهداف از راه دور، بارگذاری، دانلود و اجرای فایلها و همچنین اجرای اسکریپتها و دستورات از راه دور هستند. همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بینبردن روشهای ضدبدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دستهای دستورات به همه قربانیان حمله را نیز ممکن میکند. در حال حاضر، سازندگان بدافزار، آن را تحت یک مدل اشتراکی به فروش میرسانند و تمام امکانات موجود در آن را برای خریداران آن فعال میکنند.
حملات فیشینگ توزیعکننده ضمیمههای ایمیل مخرب WSH RAT که در قالبهای URL،ZIP و یا MHT هستند، مشتریان بانکهای تجاری را با هدایت آنها به سمت دانلود فایلهای ZIP حاوی این بدافزار، هدف قرار میدهند. پس از اجرای محتوای مخرب و برقراری ارتباط با سرور C2،WSH RAT سه محتوای مخرب را روی ماشینهای آسیبدیده قربانیان در قالب فایلهای اجرایی PE32 و تحت پوشش آرشیوهای tar.gz.، بهعنوان بخشی از مرحله دوم حمله بارگیریکرده و روی سیستم قربانی قرار میدهد.
این سه ابزار مخرب عبارتاند از کلیدنگار، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر که توسط اشخاص ثالث توسعهیافته و توسط اپراتورهای عملیات مخرب برای جمعآوری مدارک و سایر اطلاعات حساس استفادهمیشود.