Исследователи безопасности из Morphisec Labs раскрыли масштабную кампанию по распространению вредоносного ПО, которая основывается на языке сценариев AutoHotkey (AHK) для доставки нескольких троянов удаленного доступа (RAT) в целевые системы Windows.
По словам Morphisec Labs, с февраля по май 2021 года ими было обнаружено 4 таких киберпреступные кампании во время которых происходит распространение вредоносного ПО Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm.
«Процесс доставки вредоносного ПО RAT начинается со сценария, который скомпилирован AutoHotkey (AHK). Это автономный исполняемый файл, содержащий интерпретатор AHK, сценарий AHK и любые файлы, которые хакеры включили с помощью команды FileInstall. В этой кампании киберпреступники собирают вредоносные сценарии/исполняемые файлы вместе с легитимным приложением, чтобы скрыть свои намерения», – отмечают в Morphisec Labs.
AutoHotkey – настраиваемый язык сценариев с открытым исходным кодом для Windows, который предоставляет возможность использовать горячие клавиши для создания макросов и автоматизации ПО, позволяя пользователям автоматизировать повторяющиеся задачи в любом приложении Windows.
Заражение устройства пользователя начинается с исполняемого файла AutoHotkey, выполняющего разные сценарии VBS, что позволяет в итоге загрузить в скомпрометированную систему вредоносное ПО. В одном из вариантов кибератаки, выявленном 31 марта, киберпреступники инкапсулировали вредоносное ПО RAT с исполняемым файлом AHK в дополнение к отключению Microsoft Defender путем развертывания пакетного сценария и файла ярлыка (.LNK).
«По мере того, как киберпреступники изучают основные меры безопасности, такие как эмуляторы, антивирус и UAC, они стараются создать новые методы их обхода», – отмечают в Morphisec Labs.
«Изменения стратегии, детально описанные в нашем отчете, не повлияли на эффективность этих киберпреступных кампаний. Цели остались прежними. Скорее всего, изменение техники заключалось в обходе пассивных мер безопасности. Общим знаменателем этих способов уклонения от обнаружения защитными средствами является злоупотребление памятью процесса, поскольку обычно это статичная и предсказуемая цель для хакера», – говорят в Morphisec Labs.
Это не первый случай, когда хакеры злоупотребляют AutoHotkey для внедрения вредоносных программ. В декабре 2020 г. эксперты из компании Trend Micro обнаружили программу для похищения учетных данных, написанную на языке сценариев AutoHotkey, которая распространялась по финансовым организациям в США и Канаде.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ