新的黑客钓鱼活动以WSH RAT为目标银行客户

华盟君引言“Cofense的安全研究人员发现了一项针对商业银行客户的网络钓鱼活动，这些客户分发了一个跟踪为WSH RAT的新远程访问木马（RAT）。”

安全专家 Cofense网络钓鱼防御中心 已经发现针对商业银行客户的网络钓鱼活动正在分发一个跟踪为WSH RAT的新远程访问木马。

名称WSH可能是指合法的Windows脚本宿主，它是用于在Windows计算机上执行脚本的应用程序。

威胁演员正在使用RAT来提供 键盘记录器 和信息窃取者。

“  Cofense网络钓鱼防御中心 ™（PDC）和  Cofense Intelligence ™已经确定了针对商业银行客户的Houdini蠕虫的新变种，其中的广告系列包含网址，.zip或.mht文件。”读取Cofence发布的分析。“这个新变种被恶意软件的作者命名为WSH远程访问工具（RAT），并于2019年6月2日发布。在五天内，观察到WSH RAT通过网络钓鱼主动分发。“

WSH远程访问工具（RAT）是基于VBS（Visual Basic脚本）的Houdini蠕虫  （H-Worm）的变体，  它最初出现在2013年的威胁环境中，并于2016年更新。

WSH远程访问工具（RAT）与Houdini不同，因为它在JavaScript中，并在与其命令和控制（C2）服务器通信时使用不同的User-Agent字符串和分隔符。

网络钓鱼邮件包含一个包含a的MHT文件 HREF 曾经打开过的链接会将受害者引导到包含WSH RAT版本的.zip存档。

RAT允许攻击者窃取敏感数据，包括来自受害者浏览器和电子邮件客户端的密码，它还实现了键盘记录功能。专家指出，RAT允许远程控制受害者的系统，它还能够杀死反恶意软件解决方案并禁用Windows UAC。

恶意软件的作者提供租用WSH RAT，买家可以支付每月50美元的订阅费，以使用他们已经实施的所有功能。

“WSH RAT以每月50美元的价格出售，并且有一个积极的营销活动。”该帖子继续说道。“威胁运营商吹嘘RAT的许多功能，如WinXP-Win10兼容性，几种自动启动方法，以及各种远程访问，规避和窃取功能。”

一旦RAT到达C2服务器，WSH RAT将下载并删除三个扩展名为.tar.gz的附加文件但实际上是PE32可执行文件

三个下载的有效载荷是a 键盘记录，邮件凭证查看器，浏览器凭据查看器。这三个组件来自第三方，并非由WSH RAT运营商开发。

这三种恶意工具是键盘记录程序，邮件凭据查看器和由第三方开发的浏览器凭据查看器，并由活动运营商用于收集凭据和其他敏感信息。

“Hworm的这种重新散列证明了威胁运营商愿意重新使用仍然适用于当今IT环境的技术。提供包含MHT文件的.zip的网络钓鱼活动能够绕过Symantec Messaging Gateway的病毒和垃圾邮件检查。“继续发布帖子。

专家们公布了一份妥协指标（IOC）。