News

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ช่องโหว่ zero-day ที่กำลังถูกใช้โจมตี

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 เพื่อแก้ไขช่องโหว่ทั้งหมด 77 ช่องโหว่ โดยมีช่องโหว่ร้ายแรงมาก (critical) จำนวน 15 ช่องโหว่ ซึ่งมีช่องโหว่ zero-day จำนวนสองช่องโหว่ คือ CVE-2019-0880 และ CVE-2019-1132 ซึ่งทั้งสองช่องโหว่เป็นช่องโหว่ใช้ยกระดับสิทธิ์ได้

ช่องโหว่ CVE-2019-1132 เกิดจากส่วนประกอบของ Win32k ถูกค้นพบโดย ESET ซึ่งพบการใช้โจมตีโดยกลุ่มจากรัสเซียแล้ว

ช่องโหว่ CVE-2019-0880 เกิดจาก splwow64.exe ค้นพบโดย Resecurity ยังไม่พบการโจมตี

โดยสามารถอ่านรายละเอียดทั้งหมดเกี่ยวกับช่องโหว่ที่ถูกแก้ในแพตช์ประจำเดือนกรกฏาคม 2019 ได้จาก https://www.

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮก

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮกเมื่อวันเสาร์ที่ 6 กรกฎาคม
ทีมรักษาความปลอดภัยของ Ubuntu กล่าวในแถลงการณ์ว่า “เมื่อ 6 กรกฏาคม 2019 มีบัญชี GitHub ที่ใช้ดูแล Canonical ถูกบุกรุกและถูกใช้ไปสร้าง Repository ใหม่ๆ แต่ในตอนนี้ Canonical ได้ทำการลบบัญชีนั้นออกไปแล้ว และยังคงตรวจสอบเรื่อยๆ แต่ยังไม่พบซอร์สโค้ดหรือข้อมูลส่วนบุคคล (PII) ใด ๆ ที่ได้รับผลกระทบ นอกจากนี้โครงสร้างพื้นฐาน Launchpad ที่สร้างและแจกจ่าย Ubuntu นั้นถูกตัดการเชื่อมต่อจาก GitHub และไม่มีข้อบ่งชี้ว่าได้รับผลกระทบ ทีม Ubuntu มีแผนที่จะอัพเดทเมื่อเสร็จสิ้นการตรวจสอบเหตุการณ์ และหลังจากดำเนินการตรวจสอบแก้ไขปัญหาที่จำเป็น โดยก่อนนี้คนร้ายได้ใช้บัญชีที่ได้มาไปสร้าง 11 Repository ใหม่

สองวันก่อนเกิดเหตุการณ์ บริษัท Bad Packets ตรวจพบการการสแกนหาไฟล์คอนฟิคของ Git ผ่านอินเทอร์เน็ตเพื่อหาไฟล์อาจมีการเก็บ Credentials เช่น ไฟล์ที่ใช้ในการจัดการรหัสใน GitHub.

US National Trade Association ALTA เตือนให้ระวังการขโมยข้อมูล

American Land Title Association (ALTA) เผยแพร่คำเตือนเกี่ยวกับรายชื่อบริษัทนับร้อยที่ถูกขโมย ซึ่งเป็นส่วนหนึ่งของแคมเปญของ Phishing ที่มีเป้าหมายคือสมาชิก ALTA

ALTA กล่าวเตือนว่ามีบุคคลอ้างว่าเป็นแฮกเกอร์ที่ติดต่อ ALTA ผ่าน Twitter และมอบไฟล์ที่มีข้อมูลประมาณ 600 รายการ ประกอบด้วย Domain, IP address, Usernames และ Passwords โดยจากการวิเคราะห์ข้อมูลไม่ทราบที่มาว่าข้อมูลเหล่านี้หลุดได้อย่างไร โดยพบอีเมล 182 อีเมลที่ไม่ซ้ำกันและโดเมน 154 โดเมน

ALTA แนะนำว่าบริษัทที่อาจได้รับผลกระทบสามารถปกป้องระบบของพวกเขาจากการโจมตีในอนาคตโดย สแกนระบบและอุปกรณ์เพื่อให้แน่ใจว่าปลอดจากมัลแวร์, อัปเดตซอฟต์แวร์และระบบปฏิบัติการ, ให้พนักงานอัปเดตและเปลี่ยนรหัสผ่านระบบโดยเฉพาะผู้ที่มีข้อมูลลูกค้าและบริการธนาคาร

อีเมลที่น่าสงสัยที่ได้รับจากสมาชิก ALTA ควรรายงานต่อศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตแห่งชาติของสำนักงานสืบสวนกลางพร้อมรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์การโจรกรรมข้อมูลนี้เพื่อส่งให้เจ้าหน้าที่ของ ALTA โดยส่งอีเมลไปยัง vulnerabilities@americanlandtitleassociation.

เกมสยองขวัญในแอนดรอยด์ขโมยข้อมูลผู้ใช้งาน

นักวิจัยจาก Wandera พบพฤติกรรมที่เป็นอันตรายจากเกม Scary Granny ZOMBYE Mod: The Horror Game 2019 (Scary Granny) โดยพบการขโมยข้อมูลเข้าสู่ระบบ Google และ Facebook ของเหยื่อ แล้วเข้าสู่ระบบในชื่อบัญชีของเหยื่อเพื่อดูดข้อมูลต่อไป เกม Scary Granny ลอกเลียนแบบมาจากเกม Granny ซึ่งเป็นเกมที่ได้รับความนิยม ในปัจจุบันมีการติดตั้งมากกว่า 100 ล้านครั้ง

เกม Scary Granny สามารถเล่นเกมได้จริง โดยมีเหยื่อหลงติดตั้งไปกว่า 50,000 ครั้งก่อนจะมีการลบออกเมื่อวันที่ 27 มิถุนายนจาก Play Store

เมื่อทำการติดตั้งเกม Scary Granny นักวิจัยจาก Wandera พบว่าตัวเกมจะชะลอการแสดงกิจกรรมที่เป็นอันตรายใด ๆ เป็นเวลาถึงสองวันหลังจากการติดตั้ง โดยจะเปิดการใช้งานตัวขโมยข้อมูลเฉพาะบนแอนดรอยด์รุ่นเก่า เกมจะมีการขอสิทธิ์ในการเปิดเกมแม้ว่าเครื่องทำการรีสตาร์ท ซึ่งหากผู้ใช้อนุญาต เมื่อรีสตาร์ทแล้วจะมีหน้าให้ทำการ update หลังจากที่กดแล้วจะหน้าลงชื่อเข้าใช้ที่มีความคล้ายกับของจริงแต่มีการสะกดคำที่ผิด เมื่อผู้ใช้หลงกรอกข้อมูลเข้าสู่ระบบ Google แล้ว จะมีการเข้าสู่ระบบในชื่อบัญชีของเหยื่อเพื่อรวบรวมข้อมูลเพิ่มเติม เช่น อีเมลกู้คืน หมายเลขโทรศัพท์ รหัสยืนยัน วันเกิด คุกกี้ และโทเค็น มีการแสดงโฆษณาที่ทำการแปลงตัวให้เหมือน App อื่นเช่น Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, SnapChat, TikTok หรือ Zalo เพื่อขโมยข้อมูลในบริการอื่นๆ และนอกจากนี้ตัวเกมยังมีการหากำไรเพิ่มโดยเสนอให้ผู้ใช้งานจ่ายเงินเพื่อเล่นเกมเป็นเงิน 22 ดอลลาร์สหรัฐ

ที่มา: www.

บริษัทจัดการข้อมูลทำข้อมูลลูกค้าหลุดบน AWS S3
Attunity บริษัท IT ที่ให้บริการด้านการจัดการข้อมูล ทำข้อมูลของลูกค้าบางส่วนหลุดหลังจากที่ใช้งาน Amazon S3 โดยไม่ได้ตั้งรหัสผ่าน โดย AWS S3 ที่ข้อมูลรั่วไหลนั้นมีข้อมูลการดำเนินงานของ Attunity แต่ยังมีข้อมูลของลูกค้าบางบริษัทที่ติดอันดับ Fortune 100 เช่น Ford, Netflix และ TD Bank
ข้อมูลที่รั่วนั้นถูกบริษัท UpGuard ค้นพบเมื่อวันที่ 13 พฤษภาคม และอีกสามวันต่อมาตรวจสอบแล้วว่า AWS S3 ดังกล่าวได้รับการตั้งค่าใหม่ให้ปลอดภัยแล้ว
ข้อมูลที่รั่วประกอบด้วยข้อมูลของพนักงาน, OneDrive accounts, การติดต่อ Email, รหัสผ่านของระบบ, Private key ของระบบการผลิต, ข้อมูลติดต่อฝ่ายขายและการตลาด เป็นต้น
ตัวอย่างเช่นนักวิจัย UpGuard พบชื่อผู้ใช้และรหัสผ่านสำหรับระบบฐานข้อมูล production ของ Netflix ใบแจ้งหนี้ของ TD Bank สำหรับซื้อซอฟต์แวร์ให้พนักงานใช้งานภายในและไฟล์โครงการภายในของ Ford
เนื่องจากข้อมูลที่รั่วไหลมีชื่อผู้ใช้และรหัสผ่านของ Attunity ซึ่งหมายความว่าการที่ AWS S3 ข้อมูลหลุดครั้งนี้อาจนำไปสู่การแฮกครั้งใหญ่บนเครือข่ายของ Attunity ได้
นักวิจัย UpGuard กล่าวว่าตัวอย่างที่ยกมาเป็นเพียงส่วนน้อยของข้อมูลที่หลุดกว่า 1TB ที่พวกเขาดาวน์โหลดจาก Attunity เท่านั้น
อย่างไรก็ตาม Qlik บริษัทแม่ของ Attunity แถลงว่าเหตุการณ์นี้กำลังอยู่ระหว่างการตรวจสอบ โดยได้จ้างบริษัทเฉพาะทางมาตรวจสอบแล้ว ซึ่งในขณะที่แถลงนี้ยังพบการเข้าถึงข้อมูลที่หลุดจากนักวิจัย UpGuard ซึ่งเป็นผู้แจ้งเหตุการณ์เท่านั้น

ที่มา: www.

Cisco ได้ทำการแก้ไขช่องโหว่ร้ายแรงมากสองช่องโหว่ในซอฟต์แวร์ Data Center Network Manager ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถยึดอุปกรณ์ที่ได้รับผลกระทบ

Cisco ออกแพตช์ให้กับ Data Center Network Manager (DCNM) ซึ่งเป็นแพลตฟอร์มการจัดการเครือข่ายของ Cisco สำหรับ Switch ที่ทำงานบนระบบปฏิบัติการเครือข่าย NX-OS รวมถึง Switch Cisco Nexus Series โดยรวมแล้วแพตช์นี้ได้ทำการแก้ไขข้อบกพร่อง 4 ข้อที่มีอยู่ในซอฟต์แวร์บนแพลตฟอร์มนี้ประกอบด้วย 2 ช่องโหว่ร้ายแรงมาก 1 ช่องโหว่ร้ายแรงและ 1 ช่องโหว่ระดับปานกลาง

หนึ่งในช่องโหว่ร้ายแรง CVE-2019-1620 เป็นช่องโหว่ในการอัปโหลดไฟล์โดยพลการซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบ ผู้โจมตีสามารถอัปโหลดไฟล์ที่สร้างเป็นพิเศษขึ้นไปบนอุปกรณ์ที่ได้รับผลกระทบแล้วจะสามารถรันคำสั่งในสิทธิ์ root ได้ กระทบ DCNM รุ่นต่ำกว่า 11.2(1)

ส่วนอีกช่องโหว่ร้ายแรงคือ CVE-2019-1619 กระทบ DCNM รุ่นต่ำกว่า 11.1(1) เป็นช่องโหว่ที่ทำให้ผู้โจมตีหลบหลีกการยืนยันตัวตนและใช้สิทธิ์ระดับ administrative บนอุปกรณ์ได้

Pedro Ribeiro นักวิจัยด้านความปลอดภัยเป็นผู้ค้นพบทั้งสองช่องโหว่ร้ายแรง โดยรายงานต่อโปรแกรมช่องโหว่ Vulnerability Contributor ของ iDefense

สำหรับช่องโหว่ร้ายแรง CVE-2019-1621 ใน DCNM เกิดจากการตั้งค่าสิทธิ์ที่ไม่ถูกต้องและอาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ลอกอินเข้าถึงไฟล์สำคัญ และช่องโหว่ความรุนแรงปานกลาง (CVE-2019-1622) ที่เกิดจากการควบคุมการเข้าถึงที่ไม่เหมาะสมสำหรับ URL ในซอฟต์แวร์ DCNM และอาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกเข้าถึงข้อมูลสำคัญได้

นอกจากแพตช์นี้ Cisco ได้ทำการจัดการช่องโหว่หลายช่องโหว่มาตลอดเดือน รวมถึงช่องโหว่ที่สำคัญในศูนย์เครือข่ายดิจิตอล Digital Network Architecture (DNA) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเข้าถึงบริการภายในที่สำคัญได้ และแก้ช่องโหว่ที่มีความรุนแรงสูงในซอฟต์แวร์สำหรับ Routers และ Switch ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถกำหนดค่าใหม่หรือเรียกใช้คำสั่งบนอุปกรณ์ที่ได้รับผลกระทบ

ที่มา: threatpost.

ถ้าคุณคือผู้ใช้โปรแกรม VLC media player อยู่โปรดระวังจะโดนโจมตีจากแฮคเกอร์ อย่าเปิดเล่นวิดีโอที่ไม่น่าไว้วางใจและดาวน์โหลดไฟล์วิดีโอที่ไม่ปลอดภัย เพราะเป็นช่องโหว่ที่จะทำให้แฮคเกอร์สามารถเข้าถึงระบบคอมพิวเตอร์ และควบคุมการทำงานบนคอมพิวเตอร์ของคุณได้

โปรแกรม VLC media player เวอร์ชั่นก่อนหน้า 3.0.7 พบ 2 ช่องโหว่ในการถูกโจมตีที่มีความเสี่ยงสูง เป็นช่องโหว่ประเภท remote code execution เปิดโอกาสให้แฮคเกอร์สั่งรันโค้ดอันตรายบนเครื่องของผู้ใช้เพื่อเข้ามายึดเครื่องได้ ช่องโหว่นี้มีรหัส CVE-2019-5439 และ CVE-2019-12874 ช่องโหว่ดังกล่าวถูกค้นพบโดย Symeon Paraschoudis นักวิจัยจากบริษัท Pen Test Partners

สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในฟังก์ชันการประมวลผลไฟล์วิดีโอ ทำให้แฮคเกอร์สามารถแทรกโค้ดอันตรายเข้ามาในไฟล์ .avi หรือ .mkv ได้ ซึ่งหากเหยื่อใช้โปรแกรม VLC เปิดไฟล์ดังกล่าว โค้ดอันตรายที่ฝังอยู่ก็จะถูกโหลดไปประมวลผล โดยสิทธิ์ที่แฮคเกอร์ได้รับนั้นจะเทียบเท่ากับสิทธิ์ของผู้ใช้ที่เปิดโปรแกรม VLC media player ทั้งนี้ เนื่องจากช่องโหว่นี้มีผลกระทบกับ VLC media player เวอร์ชันที่เป็นปลั๊กอินของเบราว์เซอร์ด้วย ดังนั้นการโจมตีอาจไม่ได้จำกัดแค่การส่งไฟล์วิดีโอมาให้เปิดแต่อาจใช้วิธีหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีการเล่นไฟล์วิดีโอก็ได้

แนะนำให้ผู้ที่ใช้โปรแกรม VLC media player อัพเดทโปรแกรมให้เป็นเวอร์ชั่น 3.0.7 หรือเวอร์ชั่นใหม่ล่าสุดและหลีกเลี่ยงการเปิดวิดีโอและเล่นไฟล์วิดีโอจากแหล่งที่ไม่น่าเชื่อถือ รวมถึงหากไม่สามารถอัปเดตได้ควรงดใช้โปรแกรม VLC media player เปิดไฟล์วิดีโอและปิดการใช้งานปลั๊กอิน VLC ในเบราว์เซอร์ก่อนเป็นการชั่วคราว

ที่มา: thehackernews.

Cisco ประกาศแพตช์สำหรับช่องโหว่รุนแรงสูงใน IOS XE ผู้โจมตีสามารถยึดอุปกรณ์ได้

Cisco ประกาศแพตช์แก้ไขช่องโหว่ใน IOS XE ซึ่งเป็นโปรแกรมที่ใช้ใน routers และ switches ของ Cisco โดยช่องโหว่ดังกล่าวได้รับหมายเลข CVE-2019-1904 เป็นช่องโหว่ประเภท cross-site request forgery (CSRF) ในหน้า web UI ของ Cisco IOS XE โดยได้คะแนน CVSS 3.0 อยู่ที่ 8.8/10 จัดเป็นช่องโหว่ที่มีความรุนแรงสูง

ผู้โจมตีสามารถโจมตีช่องโหว่ได้โดยหลอกให้ผู้ใช้งานที่ล็อกอินหน้า web UI ของ Cisco IOS XE กดเข้าไปยัง link อันตราย เนื่องจากหน้า web UI ของ Cisco IOS XE ไม่มีการป้องกัน CSRF ผู้โจมตีจะสามารถใช้งานหน้า web UI ของ Cisco IOS XEได้ตามสิทธิ์ของผู้ใช้งานที่หลงกด link ดังกล่าว ซึ่งในกรณีที่ผู้ใช้งานดังกล่าวมีสิทธิ์ administrative ผู้โจมตีจะสามารถยึดอุปกรณ์ดังกล่าวได้

โดย Cisco แนะนำเครื่องมือที่มีชื่อว่า Cisco IOS Software Checker เพื่อให้ผู้ใช้งานตรวจสอบว่ามีช่องโหว่บน IOS XE หรือไม่ สามารถเข้าได้ที่ https://tools.

นักวิจัยด้านความปลอดภัยพบ Mirai สายพันธุ์ใหม่ที่เรียกว่า Echobot ซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ IoT และองค์กรขนาดใหญ่

Mirai บอทเน็ตที่มีการระบาดมาอย่างยาวนานให้พัฒนาเป็นสายพันธุ์ใหม่ชื่อ Echobot โดยเริ่มระบาดในเดือนพฤษภาคม มัลแวร์ Echobo ได้ถูกอธิบายเป็นครั้งแรกโดย Palo Alto Networks ในรายงานที่ตีพิมพ์เมื่อต้นเดือนมิถุนายน จากนั้นเพิ่งมีรายงานอีกครั้งโดยนักวิจัยด้านความปลอดภัยจาก Akamai เมื่อสัปดาห์ที่แล้ว

มัลแวร์ Echobot ไม่มีอะไรใหม่ แต่ผู้เขียนมัลแวร์เพียงแค่เพิ่มโมดูลที่ด้านบนของซอร์สโค้ด Mirai ดั้งเดิม แต่เมื่อมีการพบครั้งแรกโดยนักวิจัย Palo Alto Networks ในต้นเดือนมิถุนายนนั้น Echobot ใช้มีคำสั่งโจมตีสำหรับช่องโหว่ 18 ช่องโหว่ จากนั้นหนึ่งสัปดาห์ต่อมา Akamai รายงานว่า Echobot ใช้คำสั่งโจมตีช่องโหว่เพิ่มเป็น 26 ช่องโหว่แล้ว

นักวิจัยจาก Akamai ระบุว่า Echobot มีการเพิ่มความสามารถในการโจมตีข้ามแพลตพอร์ม แทนที่จะแพร่กระจายแค่กับอุปกรณ์ที่มีระบบปฏิบัติการฝังอยู่ภายใน เช่น เราเตอร์ กล้อง และ DVRs ตอนนี้ Echobot เพิ่มการใช้ช่องโหว่ในเว็บองค์กร อย่างช่องโหว่ Oracle WebLogic และช่องโหว่ในซอฟต์แวร์ระบบเครือข่ายอย่าง VMware SD-WAN เพื่อให้เป้าหมายติดมัลแวร์และแพร่กระจายมัลแวร์

วิธีแปลกใหม่ในการพัฒนา botnet โดยใช้การหาช่องโหว่ที่ไม่เกี่ยวข้องนั้นไม่ได้เป็นลักษณะเฉพาะของ Echobot เท่านั้น แต่เป็นแนวโน้มที่ IoT botnet ทั้งหมดจะใช้ในอนาคต
ผู้เขียน botnet บางคนบอกว่า ในอดีตพวกเขาเริ่มต้นด้วยการเลือกหาช่องโหว่โดยการสุ่ม แต่พวกเขาจะเลือกใช้ต่อเฉพาะช่องโหว่ที่ทำให้เกิดการแพร่กระจายได้มาก และเลิกใช้ช่องโหว่ที่แพร่กระจายได้น้อย โดยวงจรเปลี่ยนแปลงช่องโหว่เหล่านี้จะมีระยะสั้นเพียงไม่กี่วัน ซึ่งช่องโหว่ที่ Echobot ใช้ในตอนนี้ถือได้ว่าเป็นช่องโหว่ที่ botnet ต่างๆ จะนำมาใช้ตามต่อไป

ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบรายการช่องโหว่ที่ Echobot ใช้โจมตีล่าสุดได้จาก https://blogs.

โทรจันตัวใหม่มุ่งโจมตีลูกค้าของธนาคารด้วย Keyloggers

นักวิจัยด้านความปลอดภัยพบแคมเปญฟิชชิงแพร่กระจายมัลแวร์ที่กำลังแพร่กระจายอยู่ แคมเปญนี้มีเป้าหมายเป็นลูกค้าของธนาคาร โดยมัลแวร์ตัวนี้มีชื่อว่า WSH Remote Access Tool (RAT) มีความสามารถในการติดตั้ง Keyloggers และขโมยข้อมูล WSH RAT มีลักษณะคล้าย Houdini Worm (H-Worm) ที่แพร่กระจายในปี 2013

WSH RAT พยายามตั้งชื่อให้คล้ายกับ WSH (Windows Script Host) ซึ่งเป็นแอปพลิเคชันที่ใช้เรียกใช้งานสคริปต์บนเครื่อง Windows โดย WAS RAT ขายในลักษณะการใช้งานรายเดือนในราคา 50 ดอลลาร์สหรัฐต่อเดือน และมีการทำการตลาดอย่างหนักจากผู้ผลิต หลังจากที่ได้มีการวางจำหน่ายเมื่อวันที่ 2 มิถุนายนก็ได้มีการเผยแพร่อย่างรวดเร็วผ่านแคมเปญฟิชชิงในรูปแบบของ URL ไฟล์ MHT และไฟล์ ZIP

RAT ช่วยให้ผู้ซื้อสามารถเริ่มต้นการโจมตีเพื่อขโมยรหัสผ่านจากเว็บเบราว์เซอร์และอีเมลไคลเอ็นต์ของเหยื่อ ควบคุมคอมพิวเตอร์ของเหยื่อจากระยะไกล อัปโหลด ดาวน์โหลดและเรียกใช้ไฟล์ รวมถึงเรียกใช้สคริปต์และคำสั่งจากระยะไกล นอกจากนี้ยังมีความสามารถ Keyloggers ทำให้สามารถฆ่าโปรแกรมป้องกันมัลแวร์และปิดการใช้งาน Windows UAC กับผู้ที่ตกเป็นเหยื่อ

เมื่อเหยื่อหลงเชื่อและติดตั้งไฟล์แนบจากแคมเปญฟิชชิงแล้ว WSH RAT จะติดต่อไปยังเซิร์ฟเวอร์สั่งการ (C2) แล้ว WSH RAT จะดาวน์โหลดและวางไฟล์เพิ่มเติมสามไฟล์ที่มีนามสกุล. tar.