I ricercatori di sicurezza di Cofense hanno individuato una campagna di phishing rivolta ai clienti delle banche commerciali che distribuisce un nuovo remote access trojan (RAT) dal nome di WSH RAT. Il nome WSH si riferisce probabilmente al legittimo Windows Script Host, che è un’applicazione utilizzata per eseguire script su macchine Windows.
Gli hacker grazie al trojan utilizzano il RAT per fornire keylogger e rubare informazioni.
“Il Cofense Phishing Defense Center ™ (PDC) e Cofense Intelligence ™ hanno identificato una nuova variante di Houdini Worm rivolta ai clienti delle banche commerciali con campagne contenenti URL, file .zip o .mht”. Questa nuova variante è denominata WSH Remote Access Tool (RAT), nome dall’autore del malware ,ed è stata rilasciata il 2 giugno 2019. Dopo soli 5 giorni, i ricercatori hanno osservato che WSH RAT è entrata in azione e distribuita tramite messaggi phishing.
I messaggi di phishing contengono un file MHT che include un link href che, una volta aperto, indirizza le vittime a un archivio .zip contenente una versione di WSH RAT.
L’attacco
Grazie al keylogger installato, RAT consente agli aggressori di rubare dati sensibili, incluse le password dei browser delle vittime e dei client di posta elettronica. Gli esperti hanno sottolineato che il RAT consente altresì di controllare a distanza i sistemi della vittima, è anche in grado di inibire e bypassare le soluzioni anti-malware o disabilitare il controllo dell’account utente di Windows.
Una volta che il RAT raggiunge il server C2, WSH RAT scaricherà e rilascerà tre file payload con estensione .tar.gz ma che sono in realtà file eseguibili PE32. I tre payload scaricati sono un keylogger, un visualizzatore di credenziali di posta, un visualizzatore di credenziali del browser. I tre componenti sono di terze parti e non sono stati sviluppati dall’operatore RAT WSH.
Per maggiori dettagli e per gli IoC: Cofense
Fonte: Security Affairs