Эксперты предупреждают о распространении вредоносного ПО через AutoHotkey

Дата: 17.05.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Эксперты предупреждают о распространении вредоносного ПО через AutoHotkey

Исследователи безопасности из Morphisec Labs раскрыли масштабную кампанию по распространению вредоносного ПО, которая основывается на языке сценариев AutoHotkey (AHK) для доставки нескольких троянов удаленного доступа (RAT) в целевые системы Windows.

По словам Morphisec Labs, с февраля по май 2021 года ими было обнаружено 4 таких киберпреступные кампании во время которых происходит распространение вредоносного ПО Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm.

«Процесс доставки вредоносного ПО RAT начинается со сценария, который скомпилирован AutoHotkey (AHK). Это автономный исполняемый файл, содержащий интерпретатор AHK, сценарий AHK и любые файлы, которые хакеры включили с помощью команды FileInstall. В этой кампании киберпреступники собирают вредоносные сценарии/исполняемые файлы вместе с легитимным приложением, чтобы скрыть свои намерения», – отмечают в Morphisec Labs.

AutoHotkey – настраиваемый язык сценариев с открытым исходным кодом для Windows, который предоставляет возможность использовать горячие клавиши для создания макросов и автоматизации ПО, позволяя пользователям автоматизировать повторяющиеся задачи в любом приложении Windows.

Заражение устройства пользователя начинается с исполняемого файла AutoHotkey, выполняющего разные сценарии VBS, что позволяет в итоге загрузить в скомпрометированную систему вредоносное ПО. В одном из вариантов кибератаки, выявленном 31 марта, киберпреступники инкапсулировали вредоносное ПО RAT с исполняемым файлом AHK в дополнение к отключению Microsoft Defender путем развертывания пакетного сценария и файла ярлыка (.LNK).

«По мере того, как киберпреступники изучают основные меры безопасности, такие как эмуляторы, антивирус и UAC, они стараются создать новые методы их обхода», – отмечают в Morphisec Labs.

«Изменения стратегии, детально описанные в нашем отчете, не повлияли на эффективность этих киберпреступных кампаний. Цели остались прежними. Скорее всего, изменение техники заключалось в обходе пассивных мер безопасности. Общим знаменателем этих способов уклонения от обнаружения защитными средствами является злоупотребление памятью процесса, поскольку обычно это статичная и предсказуемая цель для хакера», – говорят в Morphisec Labs.

Это не первый случай, когда хакеры злоупотребляют AutoHotkey для внедрения вредоносных программ. В декабре 2020 г. эксперты из компании Trend Micro обнаружили программу для похищения учетных данных, написанную на языке сценариев AutoHotkey, которая распространялась по финансовым организациям в США и Канаде.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *