謹防Houdini木馬，或者你可能失去對網上銀行的控制權

每月只要50美元，想要的網絡犯罪分子就可以進入一個流行的黑客論壇並租用已經被宣傳為WSH遠程訪問工具（RAT）的東西。正如我們稍後會發現的那樣，至少其中一些人似乎正在這樣做。然而，他們可能不知道的是，WSH RAT實際上是Houdini的最新版本 - 一種信息竊取惡意軟件已經存在了將近六年。

來自Cofense的研究人員於6月2日首次發現了WSH RAT廣告，不到五天后，他們在活躍的垃圾郵件活動中看到了惡意軟件。一旦專家在代碼中達到頂峰，就會看到Houdini連接。命令和控制（C＆C）基礎結構的配置，默認變量甚至URL結構與舊版本的Houdini惡意軟件中的相同。

Houdini這個名字來自惡意軟件作者在2013年首次分析 RAT時使用的惡意軟件作者的在線別名。相信來自阿爾及利亞，同樣的黑客可能也負責njworm和njRAT操作，以及新的化身Houdini，他/她決定不打擾太多的變化。 Cofense的專家確實注意到代碼庫已從Visual Basic移植到JavaScript，但他們沒有報告任何其他新功能。顯然，霍迪尼的作者遵循了“如果沒有破壞，不要修復它”的座右銘。

經過深思熟慮的垃圾郵件活動

從Cofense的報告來看，分發Houdini最新版本的罪犯一直很忙。屏幕截圖顯示電子郵件格式正確，沒有任何特別明顯的語法錯誤，並且消息正文引發了一種緊迫感，應該誘使受害者觸發感染鏈。

研究人員已經看到了帶有可點擊鏈接和附件的電子郵件，這些鏈接和附件以ZIP或MHT文件的形式出現。 MHT文件的工作方式類似於普通的HTML文檔，並將受害者重定向到包含Houdini有效負載的存檔。

Houdini在執行後的第一份工作是打電話回家並發送有關受損系統的一些技術信息。之後，它安定下來並等待命令。除其他外，RAT可以刪除文件和文件夾，終止進程，將信息上傳到C＆C，更改啟動條目，重新啟動或關閉PC等。當Cofense的研究人員運行他們發現的樣本時，Houdini充當了滴管。

Houdini下載第三方模塊

在最初的C＆C通信之後，最新版本的Houdini聯繫了一個不同的URL並下載了三個擴展名為.tar.gz的文件。 Cofense後來了解到，實際上，這三個文件都是惡意的Windows可執行文件。

其中一個負責破壞電子郵件客戶端的登錄憑據，第二個是竊取保存在瀏覽器中的密碼，第三個是標準的鍵盤記錄功能. Cofense的專家似乎確信這些額外的有效載荷不是由Houdini的原始作者開發的，這表明支付每月訂閱的人可能會添加一些自己的技巧來使攻擊更有效。

這些電子郵件模仿擁有大量客戶群的銀行，這表明騙子的最終目標是最有可能破壞受害者的網上銀行賬戶，而且他們擊敗了一些垃圾郵件過濾器這一事實表明這種威脅是非常真實的。處理每一條消息，特別是據稱來自您銀行的消息，都是非常重要的。