پژوهشگران امنیتی حملات فیشینگ فعالی را کشف کرده‌اند که در حال انتشار تروجان دسترسی از راه دور RAT هستند و مشتریان بانکی را با کلیدنگار‌ها و سرقت‌کنندگان اطلاعات هدف قرار می‌دهد
تاریخ انتشار: ۲۹ خرداد ۱۳۹۸ - ۱۱:۴۶
کد خبر: ۲۸۶۱۵
به گزارش گرداب، این بدافزار جدید که ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم (Houdini (H-Worm مبتنی بر VBS (ویژوال بیسیک اسکریپت) است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.

سرعت انتشار WSH RAT بسیار بالاست، به طوری که با وجود شروع انتشار در ۲ ژوئن (۱۶ خرداد)، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL‌های مخرب و همچنین فایل‌های MHT و ZIP توزیع می‌شود.

علاوه بر این، این تروجان به عوامل خود اجازه انجام حملاتی را می‌دهد که قادر به سرقت گذرواژه‌ها از مرورگر‌های اینترنتی قربانیان و کاربران ایمیل، کنترل رایانه‌های اهداف از راه دور، بارگذاری، دانلود و اجرای فایل‌ها و همچنین اجرای اسکریپت‌ها و دستورات از راه دور هستند.

حملات فیشینگ توزیع‌کننده ضمیمه‌های ایمیل مخرب WSH RAT که در قالب‌های URL ،ZIP و یا MHT هستند، مشتریان بانک‌های تجاری را با هدایت آنان به سمت دانلود فایل‌های ZIP حاوی این بدافزار، هدف قرار می‌دهند.

پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، WSH RAT سه محتوای مخرب را روی ماشین‌های آسیب‌دیده قربانیان در قالب فایل‌های اجرایی PE ۳۲ و تحت پوشش آرشیو‌های tar.gz. به عنوان بخشی از مرحله دوم حمله، بارگیری‌کرده و روی سیستم قربانی قرار می‌دهد.

این سه ابزار مخرب کلیدنگار، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتور‌های عملیات مخرب برای جمع‌آوری مدارک و سایر اطلاعات حساس از آن‌ها استفاده می‌کنند.

بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بین‌بردن روش‌های ضدبدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دسته‌ای دستورات را به همه قربانیان حمله امکان‌پذیر می‌کند.

کارشناسان معاونت فنی مرکز افتا می‌گویند: در حال حاضر، سازندگان بدافزار WSH RAT، آن را تحت یک مدل اشتراکی به فروش می‌رسانند و همه امکانات موجود در آن را برای خریداران فعال می‌کنند.

نظر شما :
نام:
ایمیل:
* نظر:
* کد امنیتی:
Chaptcha
حروفي را كه در تصوير مي‌بينيد عينا در فيلد مقابلش وارد كنيد