چاپ

اخبار ویژه - به گزارش گرداب ، این بدافزار جدید که ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم (Houdini (H-Worm مبتنی بر VBS (ویژوال بیسیک اسکریپت) است که ابتدا در سال 2013 ایجاد و منتشر شده است.
سرعت انتشار WSH RAT بسیار بالاست، به طوری که با وجود شروع انتشار در 2 ژوئن (16 خرداد)، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL‌های مخرب و همچنین فایل‌های MHT و ZIP توزیع می‌شود.
علاوه بر این، این تروجان به عوامل خود اجازه انجام حملاتی را می‌دهد که قادر به سرقت گذرواژه‌ها از مرورگر‌های اینترنتی قربانیان و کاربران ایمیل، کنترل رایانه‌های اهداف از راه دور، بارگذاری، دانلود و اجرای فایل‌ها و همچنین اجرای اسکریپت‌ها و دستورات از راه دور هستند.
حملات فیشینگ توزیع‌کننده ضمیمه‌های ایمیل مخرب WSH RAT که در قالب‌های URL ،ZIP و یا MHT هستند، مشتریان بانک‌های تجاری را با هدایت آنان به سمت دانلود فایل‌های ZIP حاوی این بدافزار، هدف قرار می‌دهند.
پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c2، WSH RAT سه محتوای مخرب را روی ماشین‌های آسیب‌دیده قربانیان در قالب فایل‌های اجرایی PE 32 و تحت پوشش آرشیو‌های tar.gz. به عنوان بخشی از مرحله دوم حمله، بارگیری‌کرده و روی سیستم قربانی قرار می‌دهد.
این سه ابزار مخرب کلیدنگار، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتور‌های عملیات مخرب برای جمع‌آوری مدارک و سایر اطلاعات حساس از آن‌ها استفاده می‌کنند.
بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بین‌بردن روش‌های ضدبدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دسته‌ای دستورات را به همه قربانیان حمله امکان‌پذیر می‌کند.
کارشناسان معاونت فنی مرکز افتا می‌گویند: در حال حاضر، سازندگان بدافزار WSH RAT، آن را تحت یک مدل اشتراکی به فروش می‌رسانند و همه امکانات موجود در آن را برای خریداران فعال می‌کنند.
منبع: خبرگزاری صدا و سیما