۱۳۹۸-۰۴-۲۷ ۱۰:۰۴
تنظیم اندازه قلم

پ

۱:۵۶
اخبار فناوری

مشتریان بانک‌ها هدف اصلی بدافزار جدیدWSH RAT

پژوهشگران امنیتی، حملات فیشینگ فعالی را کشف کرده‌اند که در حال انتشار بدافزار دسترسی از راه دور -RAT هستند و مشتریان بانکی را با کلیدنگارها keylogger و سرقت‌کنندگان اطلاعات هدف قرار می‌دهد.

بدافزار جدیدWSH RAT

این بدافزار جدید که توسط ایجاد کننده  ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم هودینی H-worm مبتنی بر VBS ویژوال بیسیک اسکریپت است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.

 تیم تحقیقاتی کافنس، کسانی که این بدافزار را کشف کردند، اظهار داشتند: بدافزار WSH احتمالاً به اسکریپت ویندوز ربط داده می‌شود و برنامه‌ای است که برای اجرای اسکریپت‌ها روی دستگاه‌های ویندوز نصب می‌شود.

علاوه بر این سرعت انتشار WSH RAT بسیار بالا است، به طوری که با وجود شروع انتشار در ۲ ژوئن‌، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL‌های مخرب و همچنین فایل‌های MHT و‌ZIP توزیع می‌شود.

Sample phishing email.jpg

افزون بر این، این بدافزار به عوامل خود اجازه انجام حملاتی را می‌دهد که قادر به سرقت گذرواژه‌ها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانه‌های مورد هدف از راه دور، بارگذاری، دانلود و اجرای فایل‌ها و همچنین اجرای اسکریپت‌ها و دستورات از راه دور هستند.

 حملات فیشینگ توزیع‌کننده ضمیمه‌های ایمیل مخرب WSH RAT که در قالب‌های URL،ZIP و یا MHT هستند، مشتریان بانک‌های تجاری را با هدایت آنان به سمت دانلود فایل‌های ZIP حاوی این بدافزار، هدف قرار می‌دهند.

 شایان ذکر است، پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، این بدافزار جدید سه محتوای مخرب را روی ماشین‌های آسیب‌دیده قربانیان در قالب فایل‌های اجرایی PE۳۲ و تحت پوشش آرشیوهای tar.gz، به عنوان بخشی از مرحله دوم حمله، بارگیری‌کرده و روی سیستم قربانی قرار می‌دهد.

Downloading second stage malicious payloads.jpg

 این سه ابزار مخرب کلیدنگار keylogger، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتورهای عملیات مخرب برای جمع‌آوری مدارک و سایر اطلاعات حساس از آن‌ها استفاده می‌کنند.

 بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بین‌بردن روش‌های ضد بدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دسته‌ای دستورات را به همه قربانیان حمله امکان‌پذیر می‌کند.

 در حال حاضر، سازندگان بدافزار WSH RAT، آن را تحت یک مدل اشتراکی به فروش می‌رسانند و تمام امکانات موجود در آن را برای خریدارانی که مایل به پرداخت ۵۰دلار در ماه هستند، فعال می‌کنند.

WSH RAT subscription info.jpg

 

مترجم:خانم رحیمی

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط