|
به گزارش آوای نشاط به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، این بدافزار جدید که ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم مبتنی بر VBS (ویژوال بیسیک اسکریپت) است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.
سرعت انتشار WSH RAT بسیار بالا است، به طوری که با وجود شروع انتشار در ۲ ژوئن (۱۶ خرداد) ، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL های مخرب و همچنین فایلهای MHT و ZIP توزیع میشود.
علاوه بر این، این تروجان به عوامل خود اجازه انجام حملاتی را میدهد که قادر به سرقت گذرواژهها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانههای اهداف از راه دور، بارگذاری، دانلود و اجرای فایلها و همچنین اجرای اسکریپتها و دستورات از راه دور هستند.
حملات فیشینگ توزیعکننده ضمیمههای ایمیل مخرب WSH RAT که در قالبهای URL،ZIP و یا MHT هستند، مشتریان بانکهای تجاری را با هدایت آنان به سمت دانلود فایلهای ZIP حاوی این بدافزار، هدف قرار میدهند.
پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، این بدافزار سه محتوای مخرب را روی ماشینهای آسیبدیده قربانیان در قالب فایلهای اجرایی PE۳۲ و تحت پوشش آرشیوهای tar.gz.، به عنوان بخشی از مرحله دوم حمله، بارگیریکرده و روی سیستم قربانی قرار میدهد.
این سه ابزار مخرب کلیدنگار، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتورهای عملیات مخرب برای جمعآوری مدارک و سایر اطلاعات حساس از آنها استفاده میکنند.
بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بینبردن روشهای ضدبدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دستهای دستورات را به همه قربانیان حمله امکانپذیر میکند.
کارشناسان معاونت فنی مرکز افتا میگویند: در حال حاضر، سازندگان بدافزار WSH RAT ، آن را تحت یک مدل اشتراکی به فروش میرسانند و تمام امکانات موجود در آن را برای خریداران فعال میکنند.