Houdini Worm (HWorm) existe desde al menos el 2013 y comparte similitudes con el malware njRAT y njWorm. WSH RAT es básicamente idéntico a H-Worm y su nombre probablemente sea una referencia al Windows Script Host legítimo (una aplicación que se usa para ejecutar scripts en máquinas Windows).
«Esta nueva variante se llama WSH Remote Access Tool (RAT) por el autor del malware y se lanzó el 2 de junio de 2019. En cinco días, se observó que WSH RAT se estaba distribuyendo activamente a través del phishing», escribieron los investigadores.
El correo electrónico de phishing contiene un archivo MHT que incluye un enlace href, que una vez abierto, dirigirá a las víctimas a un archivo .zip que contiene una versión de WSH RAT.
Una vez conectado a su servidor de comando y control, el RAT descargará e instalará tres ejecutables adicionales con la extensión .tar.gz, pero en realidad son archivos ejecutables PE32. Las tres cargas útiles descargadas son un keylogger, un visor de credenciales de correo y un visor de credenciales de navegador. Todos estos módulos fueron creados por terceros y no fueron desarrollados por el operador WSH RAT.
Según los investigadores, WSH RAT se está promoviendo activamente en los foros de la web oscura. Actualmente, los autores de malware están vendiendo el RAT bajo un modelo basado en suscripción, y todas las funciones están desbloqueadas para los clientes que deseen pagar $ 50 por mes.
WSH RAT puede robar contraseñas de los navegadores web y clientes de correo electrónico de las víctimas, controlar las computadoras de los destinos de forma remota, cargar / descargar / ejecutar archivos y ejecutar secuencias de comandos y comandos remotos. El malware también puede funcionar como un keylogger, para eliminar las soluciones antimalware y deshabilitar el UAC de Windows.
«Esta nueva revisión de Hworm demuestra que los operadores de amenazas están dispuestos a reutilizar técnicas que todavía funcionan en el entorno de TI actual. «, Dijeron los investigadores. La campaña de phishing que entregó el archivo .zip que contenía un archivo MHT pudo evitar los controles de virus y spam de Symantec Messaging Gateway».
IOC
URL
hxxp://elcisneblanco[.]com/tmp/banking/details/bank[.]php
hxxp://futuroformacion[.]es/moodle/calendar/amd/BANK DETAILS CONFIRMATION_PDF[.]zip
hxxp://doughnut-snack[.]live/klplu[.]tar[.]gz
hxxp://doughnut-snack[.]live/bpvpl[.]tar[.]gz
hxxp://doughnut-snack[.]live/mapv[.]tar[.]gz
hxxp://www.tcoolsoul[.]com:1765/is-ready
hxxp://brothersjoy[.]nl
hxxp://savelifes[.]tech
IP
192[.]185[.]26[.]103
192[.]185[.]163[.]240
23[.]105[.]131[.]191
23[.]105[.]131[.]225
185[.]247[.]228[.]49
MD5
986ffeb04fa5e01dd03b38bdd379ab51
266788057a7100afb9f123531b07282d
5a2b62b657782f37eb0f7c27064cffa9
977e42c09f7f98cfdcbf28ab2c460190
7099a939fa30d939ccceb2f0597b19ed
3a6b304e0a3dc91cac8892446826ffcc
c4c6fe64765bc68c0d6fcaf2765b5319
hxxp://elcisneblanco[.]com/tmp/banking/details/bank[.]php
hxxp://futuroformacion[.]es/moodle/calendar/amd/BANK DETAILS CONFIRMATION_PDF[.]zip
hxxp://doughnut-snack[.]live/klplu[.]tar[.]gz
hxxp://doughnut-snack[.]live/bpvpl[.]tar[.]gz
hxxp://doughnut-snack[.]live/mapv[.]tar[.]gz
hxxp://www.tcoolsoul[.]com:1765/is-ready
hxxp://brothersjoy[.]nl
hxxp://savelifes[.]tech
A more detailed write-up can be found here.
Fuente: seguridadyfirewall.cl
