بدافزار جدیدی به نام WSH RAT مشتریان بانکها را توسط Keylogger هدف قرار می دهد

بدافزار جدیدی به نام WSH RAT مشتریان بانکها را توسط Keylogger هدف قرار می دهد

محققان امنیتی یک کمپین فیشینگ در حال رشد کشف کرده اند که یک تروجان را برای دسترسی ریموت (Remote access Trojan = RAT) توزیع می کند و به طور فعال مشتریان بانکی تجاری را با Keylogger ها و سرقت اطلاعات هدف قرار می دهد.

یک بدافزار جدید، که به نام سازنده اش WSH Remote Access Tool (RAT) نامیده می شود، یک نسخه از VBS (Visual Basic Script) مبتنی بر کرم هودینی (H-Worm) می باشد که ابتدا در سال 2013 ایجاد و انتشار یافت.

این بدافزار علاوه بر انتقال به جاوا اسکریپت و استفاده از یک رشته متفاوت User-Agent و حائل کاراکتر هنگامیکه با سرور کنترل و فرمان (C2) خودش ارتباط برقرار می کند، اساساٌ با H-Worm همسان است.

WSH RAT comes packed with "features"

به گفته تیم تحقیقاتی کافنس )کسانیکه RAT جدید را کشف کردند)، WSH احتمالاٌ برگرفته از Windows Script Host می باشد که نرم افزاری می باشد برای اجرای اسکریپت ها در سیستمهای ویندوزی.

نمونه ایمیل فیشینگ

RAT به خریداران خود این اجازه را می دهد تا حملاتی را انجام دهند که توانایی سرقت گذرواژه ها را از مرورگر وب قربانی، ایمیل های مشتریان، کنترل از راه دور رایانه های هدف، آپلود، دانلود و اجرای فایل ها و همچنین اجرای اسکریپت ها و دستورات از راه دور دارند.

این ویژگی های قابلیت Keylogging این امکان را می دهد تا راه حل های anti-malware را از بین ببرد و UAC ویندوز را غیر فعال کند به وسیله صادر کردن کامندهای بچ برای همه قربانیان در معرض خطر.

در حال حاضر، سازندگانش آن را تحت مدل مبتنی بر اشتراک به فروش می رسانند و تمام امکانات را برای مشتریانی که مایل به پرداخت 50 دلار در ماه هستند، باز می کنند.

اطلاعات اشتراک WSH RAT

کمپین فیشینگ WSH RAT

همانطور که در ابتدا توضیح داده شد، حملات فیشینگ که ضمیمه های ایمیل مخرب WSH RAT توزیع می کنند در قالب URL، ZIP یا MHT به طور فعال مشتریان بانک های تجاری را با هدایت آنها به منظور دانلود آرشیوهای ZIP حاوی بارگذاری RAT هدف قرار می دهند.

کاربران هدف، بارگذاری مخرب دانلود شده بر روی سیستمشان را اجرا می کنند که از ساختار پیکربندی و زیر ساخت ارتباطی C2 مشابه با H-Worm ها استفاده می کند.

پس از رسیدن به سرور C2،  WSH RAT دانلود خواهد شد و سه مخرب دیگر بر روی ماشین های آسیب دیده قربانیان در قالب فایل های اجرایی PE32 که به شکل فایل های آرشیو .tar.gz بارگذاری شده و قرار میگیرند.

دانلود قسمت دوم بارگیری فایل های مخرب

این سه ابزار مخرب یک Keylogger، یک نمایشگر اطلاعات کاربری ایمیل و یک نمایشگر اطلاعات کاربری مرورگر هستند که توسط اشخاص ثالث توسعه یافته و توسط اپراتورهای کمپین برای جمع آوری اطلاعات کاربری و دیگر اطلاعات حساس استفاده می شوند.

همانطور که محققان Cofense کشف کردند، این Hworm ها که مجدداً هش شده اند، نشان می دهد که مهاجمان مایل هستند که از این تکنیک ها که در دنیای فناوری اطلاعات امروز هنوز کار می کنند، استفاده کنند.

همچنین، کمپین های فیشینگ که  فایل .zip حاوی MHT را توزیع میکنند، توانستند تا درگاه چک ویروس و اسپم سایمنتک (Symantec Messaging Gateway’s) را دور بزنند و قربانیان خود را با موفقیت آلوده کنند.

لیستی از شاخص های سازش (IOCs) حاوی URL ها، آدرس های IP و نمونه هش های مخرب ارائه شده توسط Cofense.

منبع: Bleepingcomputer.com