WSHRAT - это троянец удаленного доступа - вредоносная программа, позволяющая злоумышленникам брать под контроль зараженные компьютеры. RAT находится в обращении с 2013 года и, пожалуй, наиболее примечателен многочисленными версиями, выпущенными в свободное распространение.
Также известен как
- Dunihi
- Houdini
- H-worm
- Jenxcus
- Kognito
Что такое вредоносная программа WSHRAT?
WSHRAT - это троянец удаленного доступа - тип вредоносного ПО, который злоумышленники используют для получения удаленного контроля над машинами и кражи информации. Этот конкретный RAT пережил несколько модификаций, и в зависимости от версии он также известен как Dunihi, Houdini, H-worm, Jenxcus и Kognito.
Впервые этот RAT был использован в атаках на компании энергетического сектора по всему миру. Со временем вредоносная программа стала широко доступной, и злоумышленники использовали ее в менее скоординированных атаках. Последняя версия WSHRAT сменила целевую аудиторию и теперь нацелена на банковский сектор.
Функциональные возможности этого RAT могут различаться в зависимости от версии, но обычно они включают:
- Возможность делать скриншоты.
- Возможность изменять файлы.
- Возможность доступа к учетным данным электронной почты и веб-браузера.
- Возможность манипулировать запущенными системными процессами и убивать их.
Общее описание вредоносной программы WSHRAT
Впервые эта вредоносная программа всплыла в 2013 году, когда она была известна под именем H-worm. В то время это был RAT, написанный на языке программирования VBS (Visual Basic Script). Уже тогда некоторые образцы отличались обфускацией кода, а вредоносная программа была оснащена расширенными функциями для кражи информации.
Вредоносная программа была разработана пользователем, известным в подпольном сообществе как Houdini. Houdini использовал веб-сайт, на котором люди могли узнать о возможностях RAT из поясняющего видео. Анализ контента позволил исследователям с высокой степенью уверенности заключить, что Гудини, скорее всего, алжирец. Это в основном основано на его свободном владении французским и арабским языками.
Следует отметить, что при анализе первых образцов WSHRAT исследователи обнаружили, что он имеет сходство в командно-контрольной инфраструктуре с NjW0rm, njRat/LV, XtremeRAT и PoisonIvy. Все эти РАТ управляются кибербандой njq8. Вполне вероятно, что Houdini сотрудничает с этой бандой или даже может быть частью синдиката njq8.
Вредоносная программа стала относительно популярной, и некоторое время VBS-версии циркулировали в дикой природе. В 2015 году автор объявил о своих планах переписать вредоносную программу на языке программирования Delphi.
Однако другая версия, которую исследователи начали изучать в 2016 году, по-прежнему использовала VBS. На этот раз RAT поставлялся в SFX-файлах и демонстрировал новое поведение. Например, он запускал YouTube или открывал URL-адрес браузера в качестве приманки, чтобы скрыть свое исполнение и заражение, происходящее в фоновом режиме. Среди прочего, версию WSHRAT 2016 года можно отличить по использованию смешанных бинарных и ASCII протоколов через TCP.
Самая новая версия WSHRAT появилась в 2019 году. Эта итерация вредоносной программы нацелена на коммерческий банковский сектор. RAT был полностью переписан на JavaScript из оригинального кода Visual basic. Однако большинство аспектов обновленной версии остались идентичными старым итерациям. Например, она использует ту же структуру URL для серверов C2 и демонстрирует схожие модели поведения.
Эту версию можно приобрести за 50 долларов США, и она усиленно рекламируется на подпольных форумах. В частности, маркетинговая кампания подчеркивает такие особенности RAT, как совместимость с WinXP-Win10 и большое количество функций кражи информации и удаленного управления.
Процесс выполнения WSHRAT
Процесс выполнения WSHRAT прост - после того, как троян попадает в систему в виде файла скрипта, он либо запускается непосредственно процессом wscript, либо использует системные процессы, такие как powershell и regasm для сохранения и обхода защиты. После закрепления в системе WSHRAT начинает посылать запросы на C2-сервер для получения дальнейших команд и забирает дополнительную полезную нагрузку, например, свои модули с различной функциональностью.
Распространение WSHRAT
Преступники обычно распространяют WSHRAT с помощью электронных писем, содержащих зараженные вложения. Есть основания полагать, что эта РАТ используется как в узконаправленных атаках, так и в более широко распространенных кампаниях спама по электронной почте. Фишинг используется для того, чтобы обманом заставить жертву установить вредоносную программу.
Заключение
Опасность вредоносного ПО, подобного WSH RAT, заключается не только в его широком наборе функций как RAT, но и в его способности к морфированию. Написание на VBS помогло злоумышленникам выпустить невероятное количество версий. Пока исследователи безопасности были заняты анализом одного образца, новая итерация могла быть выпущена в свободный доступ.
В подобных случаях способность быстро проводить исследования имеет решающее значение. Это особенно актуально, если учесть, что некоторые образцы WSHRAT используют обфускацию и шифрование кода, что делает статический анализ неэффективным. Это означает, что без более сложного и трудоемкого динамического анализа не обойтись.