پژوهشگران امنیتی حملات فیشینگ فعالی را کشف کرده‌اند که در حال انتشار تروجان دسترسی از راه دور RAT هستند و مشتریان بانکی را با کلیدنگارها و سرقت‌کنندگان اطلاعات هدف قرار می‌دهد.

به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، این بدافزار جدید که ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم مبتنی بر VBS (ویژوال بیسیک اسکریپت) است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.

سرعت انتشار WSH RAT بسیار بالا است، به طوری که با وجود شروع انتشار در ۲ ژوئن (۱۶ خرداد) ، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL های مخرب و همچنین فایل‌های MHT و ZIP توزیع می‌شود.

علاوه بر این، این تروجان به عوامل خود اجازه انجام حملاتی را می‌دهد که قادر به سرقت گذرواژه‌ها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانه‌های اهداف از راه دور، بارگذاری، دانلود و اجرای فایل‌ها و همچنین اجرای اسکریپت‌ها و دستورات از راه دور هستند.

حملات فیشینگ توزیع‌کننده ضمیمه‌های ایمیل مخرب WSH RAT که در قالب‌های URL،ZIP و یا MHT هستند، مشتریان بانک‌های تجاری را با هدایت آنان به سمت دانلود فایل‌های ZIP حاوی این بدافزار، هدف قرار می‌دهند.

پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، این بدافزار سه محتوای مخرب را روی ماشین‌های آسیب‌دیده قربانیان در قالب فایل‌های اجرایی PE۳۲ و تحت پوشش آرشیوهای tar.gz.، به عنوان بخشی از مرحله دوم حمله، بارگیری‌کرده و روی سیستم قربانی قرار می‌دهد.

این سه ابزار مخرب کلیدنگار، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتورهای عملیات مخرب برای جمع‌آوری مدارک و سایر اطلاعات حساس از آنها استفاده می‌کنند.

بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بین‌بردن روش‌های ضدبدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دسته‌ای دستورات را به همه قربانیان حمله امکان‌پذیر می‌کند.

کارشناسان معاونت فنی مرکز افتا می‌گویند: در حال حاضر، سازندگان بدافزار WSH RAT ، آن را تحت یک مدل اشتراکی به فروش می‌رسانند و تمام امکانات موجود در آن را برای خریداران فعال می‌کنند.