Новый вариант трояна нацелен на клиентов коммерческих банков

Специалисты по кибербезопасности из фирмы Cofense сообщили о появлении WSH Remote Access Tool (RAT) — новой версии трояна Houdini, также известного под названием HWorm. Она была выпущена автором 2 июня, а спустя всего пять дней приступила к поиску жертв посредством фишинговых кампаний. Главная специализация новой программы это кража идентификационных данных для онлайнового банкинга, которые можно использовать для мошеннических операций.

Фишинговые письма, выдаваемые за переписку банков, таких как HSBC, содержат файлы веб-архива с расширением .MHT. При попытке открыть такое вложение, файл перенаправляет жертву по ссылке на архив .ZIP, содержащий вредоносную нагрузку.

WSH RAT представляет собой вариант HWorm, портированный с изначального Visual Basic на JavaScript, но действует он аналогично оригиналу, используя те же закодированные данные Base64 и одинаковые строки конфигурации, переменные по умолчанию также названы и организованы одинаково для обеих разновидностей вредоносного кода.

Троян в первую очередь связывается с управляющим (C&C) сервером и запрашивает там загрузку трёх дополнительных файлов .tar.gz, содержащих кейлоггер для Windows и модули просмотра учётных данных электронной почты и веб-браузера. Cofense считает, что эти модули разработаны посторонними авторами, а не создателем WSH RAT.

На подпольных форумах данная версия Houdini активно раскупается по цене подписки $50 в месяц. Продавцы превозносят такие «достоинства» WSH RAT, как совместимость с WinXP и Win10, методы уклонения и возможности кражи учетных данных.

Ранее HWorm был замечен в атаках на энергетический сектор. По информации FireEye, автор трояна по всей вероятности базируется в Алжире и связан с другим разработчиком вредоносных программ, ответственным за создание njw0rm и njRAT/LV, — об этом свидетельствует сходство кодовой основы их программ.