WSH RAT
O WSH RAT é um Trojan de Acesso Remoto ou RAT. Os RATs são projetados para permitir que um atacante obtenha acesso a um computador a partir de um local remoto. Usando um Trojan como o WSH RAT, um invasor pode controlar o dispositivo da vítima remotamente, usando-o para realizar outros ataques ou realizar qualquer número de tarefas indesejadas no dispositivo comprometido. O WSH RAT está sendo anunciado em vários fóruns de hackers na Deep Web, disponibilizados para criminosos que querem realizar esse tipo de ataque. O WSH RAT é anunciado como tendo uma grande variedade de recursos e geralmente pode ser usado para instalar outras ameaças de malware. O WSH RAT também inclui funções que permitem coletar senhas e dados do computador da vítima. O WSH RAT está intimamente relacionado ao H-Worm ou ao Houdini Worm, uma ameaça de malware que está ativa desde 2013.
Índice
O WSH RAT está sendo Vendido nos Underground Hacking Forums
Os criminosos que anunciam o WSH RAT alugam para outros por US $25 a cada mês. Aqueles que alugam o WSH RAT podem usá-lo para realizar ataques com a versão completa desta ameaça e usá-la quantas vezes quiserem. Os analistas de malware receberam relatórios de pelo menos uma campanha em que essa versão do WSH RAT foi usada. Nesse caso, os criminosos compraram o WSH RAT e o distribuíram usando anexos de e-mail de spam. Esses anexos tomavam a forma de arquivos ZIP que, quando abertos, instalavam o WSH RAT no computador da vítima. Depois que o WSH RAT foi instalado, os criminosos que operavam esse RAT tinham acesso completo ao dispositivo comprometido.
Como o WSH RAT Realiza o Seu Ataque
Depois que a vítima abre o arquivo ZIP corrompido, o WSH RAT é instalado automaticamente. Primeiro de tudo, o WSH RAT se conecta ao seu servidor de Comando e Controle. Este é o dispositivo através do qual os operadores do WSH RAT enviam comandos para o WSH RAT e recebem informações sobre o dispositivo infectado. O WSH RAT recebe instruções de seu servidor de Comando e Controle sobre como continuar seu ataque. O WSH RAT baixará três arquivos executáveis corrompidos que são usados pelo WSH RAT para realizar seu ataque como o primeiro passo do ataque. Uma vez que estes sejam executados, o WSH RAT pode coletar senhas de e-mail e nomes de login do dispositivo infectado, bem como informações dos navegadores da Web do dispositivo infectado (como senhas armazenadas e nomes de usuário) e registrar as teclas digitadas no dispositivo infectado. pode ser usado para coletar números de cartão de crédito ou senhas. Uma vez que o RAT WSH tenha sido totalmente instalado, o RAT WSH pode ser usado para executar uma variedade de tarefas inseguras, incluindo o seguinte:
- O WSH RAT pode manipular o Prompt de Comando do Windows, permitindo que os invasores executem uma ampla variedade de tarefas no dispositivo infectado, como o lançamento de programas, a manipulação de arquivos e muitos outros.
- O WSH RAT pode executar comandos remotos do PowerShell. Uma conseqüência desse recurso é que o WSH RAT pode ser usado para carregar outros dados no dispositivo infectado, incluindo outros malwares.
- o servidor de Comando e Controle do WSH RAT, permitindo que os criminosos coletem arquivos confidenciais do dispositivo infectado.
- O WSH RAT pode ser usado para reinicializar o dispositivo infectado ou desligá-lo.
- O WSH RAT pode ser usado para operar o Gerenciador de Tarefas do Windows no dispositivo infectado, permitindo que os criminosos desliguem o software de segurança ou manipulem os processos de arquivos em execução.
Lidando com o WSH RAT
Como o WSH RAT está tão relacionado ao Worm Houdini, a maioria dos programas de segurança é capaz de remover o WSH RAT.. É por isso que é importante que todo o software de segurança esteja totalmente atualizado. Como o WSH RAT é distribuído via e-mails de spam, principalmente, aprender a lidar com esse conteúdo também é essencial na prevenção dos ataques do WSH RAT.
