谨防Houdini木马,或者你可能失去对网上银行的控制权
每月只要50美元,想要的网络犯罪分子就可以进入一个流行的黑客论坛并租用已经被宣传为WSH远程访问工具(RAT)的东西。正如我们稍后会发现的那样,至少其中一些人似乎正在这样做。然而,他们可能不知道的是,WSH RAT实际上是Houdini的最新版本 - 一种信息窃取恶意软件已经存在了将近六年。
来自Cofense的研究人员于6月2日首次发现了WSH RAT广告,不到五天后,他们在活跃的垃圾邮件活动中看到了恶意软件。一旦专家在代码中达到顶峰,就会看到Houdini连接。命令和控制(C&C)基础结构的配置,默认变量甚至URL结构与旧版本的Houdini恶意软件中的相同。
Houdini这个名字来自恶意软件作者在2013年首次分析 RAT时使用的恶意软件作者的在线别名。相信来自阿尔及利亚,同样的黑客可能也负责njworm和njRAT操作,以及新的化身Houdini,他/她决定不打扰太多的变化。 Cofense的专家确实注意到代码库已从Visual Basic移植到JavaScript,但他们没有报告任何其他新功能。显然,霍迪尼的作者遵循了“如果没有破坏,不要修复它”的座右铭。
经过深思熟虑的垃圾邮件活动
从Cofense的报告来看,分发Houdini最新版本的罪犯一直很忙。屏幕截图显示电子邮件格式正确,没有任何特别明显的语法错误,并且消息正文引发了一种紧迫感,应该诱使受害者触发感染链。
研究人员已经看到了带有可点击链接和附件的电子邮件,这些链接和附件以ZIP或MHT文件的形式出现。 MHT文件的工作方式类似于普通的HTML文档,并将受害者重定向到包含Houdini有效负载的存档。
Houdini在执行后的第一份工作是打电话回家并发送有关受损系统的一些技术信息。之后,它安定下来并等待命令。除其他外,RAT可以删除文件和文件夹,终止进程,将信息上传到C&C,更改启动条目,重新启动或关闭PC等。当Cofense的研究人员运行他们发现的样本时,Houdini充当了滴管。
Houdini下载第三方模块
在最初的C&C通信之后,最新版本的Houdini联系了一个不同的URL并下载了三个扩展名为.tar.gz的文件。 Cofense后来了解到,实际上,这三个文件都是恶意的Windows可执行文件。
其中一个负责破坏电子邮件客户端的登录凭据,第二个是窃取保存在浏览器中的密码,第三个是标准的键盘记录功能. Cofense的专家似乎确信这些额外的有效载荷不是由Houdini的原始作者开发的,这表明支付每月订阅的人可能会添加一些自己的技巧来使攻击更有效。
这些电子邮件模仿拥有大量客户群的银行,这表明骗子的最终目标是最有可能破坏受害者的网上银行账户,而且他们击败了一些垃圾邮件过滤器这一事实表明这种威胁是非常真实的。处理每一条消息,特别是据称来自您银行的消息,都是非常重要的。
