Преступники используют AutoHotkey для загрузки троянов для удаленного доступа
18 мая 2021 года
Исследователи в области кибербезопасности из Morphisec Labs сообщили о текущей вредоносной кампании, операторы которой используют язык скриптов AutoHotkey (AHK) для распространения троянов для удаленного доступа (RAT), таких как Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm.
По словам исследователей, с февраля 2021 года было обнаружено как минимум четыре различные версии кампании.
«Кампания по распространению RAT начинается со скрипта, скомпилированного AutoHotKey (AHK). Автономный исполняемый файл содержит интерпретатор AHK, скрипт AHK и любые файлы, внедренные с помощью команды FileInstall. В этой кампании злоумышленники включают вредоносные скрипты и исполняемые файлы вместе с легитимным приложением с целью скрыть свои намерения», — пояснили эксперты.
Независимо от вида кампании, заражение начинается с исполняемого файла AHK, который загружает и выполняет различные скрипты VBScripts для загрузки RAT на скомпрометированный компьютер. В одном из вариантов атаки злоумышленник связал RAT с исполняемым файлом AHK в дополнение к отключению Microsoft Defender путем установки пакетного скрипта и файла ярлыка (.LNK), указывающего на данный скрипт.
Была обнаружена вторая версия вредоносного ПО, блокирующая подключения к популярным антивирусным решениям путем подделки файла hosts на системе жертвы. Третья кампания включала доставку LimeRAT через обфусцированный VBScript, который затем декодируется в команду PowerShell, загружает полезную нагрузку на языке C# с исполняемым файлом заключительного этапа из сервиса stikked.ch.
В рамках четвертой кампании преступник использовал AHK для выполнения легитимного приложения, прежде чем удалить скрипт VBScript, который запускает PowerShell-скрипт в памяти для запуска загрузчика вредоносных программ HCrypt и установки AsyncRAT.
Исследователи Morphisec связали все вредоносные кампании с одним и тем же злоумышленником, сославшись на сходство скрипта AHK и совпадение методов, используемых для отключения Microsoft Defender.
AutoHotkey — настраиваемый язык скриптов с открытым исходным кодом для Microsoft Windows, предоставляющий простые горячие клавиши для создания макросов и автоматизации программного обеспечения.
Источники[править]
Эта статья содержит материалы из статьи «Преступники используют AutoHotkey для загрузки троянов для удаленного доступа», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.