Преступники используют AutoHotkey для загрузки троянов для удаленного доступа

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

18 мая 2021 года

Исследователи в области кибербезопасности из Morphisec Labs сообщили о текущей вредоносной кампании, операторы которой используют язык скриптов AutoHotkey (AHK) для распространения троянов для удаленного доступа (RAT), таких как Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm.

По словам исследователей, с февраля 2021 года было обнаружено как минимум четыре различные версии кампании.

«Кампания по распространению RAT начинается со скрипта, скомпилированного AutoHotKey (AHK). Автономный исполняемый файл содержит интерпретатор AHK, скрипт AHK и любые файлы, внедренные с помощью команды FileInstall. В этой кампании злоумышленники включают вредоносные скрипты и исполняемые файлы вместе с легитимным приложением с целью скрыть свои намерения», — пояснили эксперты.

Независимо от вида кампании, заражение начинается с исполняемого файла AHK, который загружает и выполняет различные скрипты VBScripts для загрузки RAT на скомпрометированный компьютер. В одном из вариантов атаки злоумышленник связал RAT с исполняемым файлом AHK в дополнение к отключению Microsoft Defender путем установки пакетного скрипта и файла ярлыка (.LNK), указывающего на данный скрипт.

Была обнаружена вторая версия вредоносного ПО, блокирующая подключения к популярным антивирусным решениям путем подделки файла hosts на системе жертвы. Третья кампания включала доставку LimeRAT через обфусцированный VBScript, который затем декодируется в команду PowerShell, загружает полезную нагрузку на языке C# с исполняемым файлом заключительного этапа из сервиса stikked.ch.

В рамках четвертой кампании преступник использовал AHK для выполнения легитимного приложения, прежде чем удалить скрипт VBScript, который запускает PowerShell-скрипт в памяти для запуска загрузчика вредоносных программ HCrypt и установки AsyncRAT.

Исследователи Morphisec связали все вредоносные кампании с одним и тем же злоумышленником, сославшись на сходство скрипта AHK и совпадение методов, используемых для отключения Microsoft Defender. 

	 AutoHotkey — настраиваемый язык скриптов с открытым исходным кодом для Microsoft Windows, предоставляющий простые горячие клавиши для создания макросов и автоматизации программного обеспечения.

Источники[править]

Эта статья содержит материалы из статьи «Преступники используют AutoHotkey для загрузки троянов для удаленного доступа», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Преступники_используют_AutoHotkey_для_загрузки_троянов_для_удаленного_доступа&oldid=10385915