Новият вариант на троянски кон активно поразява клиентите на търговските банки.
Нов вариант на зловреден софтуер Houdini е открит в кампании срещу финансови институции и техните клиенти.
Миналата седмица изследователи по киберсигурност от Cofense каза в публикация в блог че новият щам на Худини – известен също като HWorm – е пуснат от неговия автор на 2 юни 2019 г.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
Наречен WSH инструмент за отдалечен достъп (RAT), вариантът отне само пет дни, за да започне да търси жертви чрез фишинг кампании, като общата цел е кражба на идентификационни данни за онлайн банкиране, които могат да бъдат използвани за извършване на измамни покупки.
Фишинг кампанията се маскира като законна комуникация от банки, включително HSBC. Измамните имейли съдържат .MHT уеб архивни файлове, които действат по същия начин като .HTML файловете.
CNET: Black Hat отменя Rep. Заглавната реч на Уил Хърд след реакция в Twitter
Ако жертва отвори прикачения файл, файлът, който съдържа връзка към уеб адрес, я насочва към .zip архив, съдържащ WSH RAT полезния товар.
WSH RAT е версия на HWorm, която е пренесена към Javascript от оригиналната настройка на Visual Basic на HWorm, но действа по същия начин като оригиналния зловреден софтуер. Троянският кон не само използва същите Base64 кодирани данни – които Cofense описва като „обезобразени“ – но и същите конфигурационни низове, с променливи по подразбиране, наименувани и организирани по един и същи начин и за двата вида зловреден код.
Полезният товар първо комуникира със своя командно-контролен (C2) сървър, контролиран от атакуващия, за да поиска три допълнителни файла .tar.gz. Тези файлове обаче са всъщност PE32 изпълними файлове, които предоставят на троянския кон Windows keylogger, програма за преглед на идентификационни данни за поща и модул за преглед на идентификационни данни за браузър.
TechRepublic: Magecart атака: какво представлява, как работи и как да я предотвратим
Cofense казва, че всеки модул е разработен от трети страни и не е оригиналната работа на създателя на WSH RAT.
Щамът на зловреден софтуер активно се продава в подземни форуми на абонаментна база от $50 на месец. Продавачите се опитват да спечелят клиенти, като говорят красноречиво за WinXP на WSH RAT – съвместимост с Win10, техники за укриване, възможности за кражба на идентификационни данни и др.
Вижте също: Have I Been Pwned: Време е да порасна и да усетя потенциала за придобиване
HWorm и преди е бил забелязван в атаки срещу енергийния сектор. Според към FireEye, вероятно разработчикът на зловреден софтуер е базиран в Алжир и има връзки с друг зловреден софтуер разработчик, отговорен за щамовете njw0rm и njRAT/LV, поради прилики, забелязани в техните кодови бази.
Това са най-лошите хакове, кибератаки и пробиви на данни за 2019 г. (до момента)
Предишно и свързано покритие
-
EFF иска усилията на Министерството на правосъдието за разбиване на криптирането на Facebook да бъдат публикувани
-
Хакерите Outlaw се завръщат с ботнет за копаене на криптовалута
-
Европол превръща престъпленията с криптовалута в игра
Имате съвет? Свържете се безопасно чрез WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0