Срочно. Эксперты предупреждают о продолжающихся атаках вредоносного ПО с помощью AutoHotkey

Эксперты предупреждают о продолжающихся атаках вредоносного ПО с помощью AutoHotkey. Фото: Pixabay

По словам исследователей из Morphisec Labs, с февраля 2021 года было обнаружено как минимум четыре различных версии кампании, сообщает The Hacker News.

Исследователи безопасности из компании Morphisec Labs:

«Кампания по доставке RAT начинается с сценария, скомпилированного AutoHotKey (AHK). Это автономный исполняемый файл, который содержит следующее: интерпретатор AHK, сценарий AHK и любые файлы, которые он включил с помощью команды FileInstall . В этой кампании злоумышленники включают вредоносные сценарии или исполняемые файлы вместе с легитимным приложением, чтобы скрыть свои намерения».

AutoHotkey - это настраиваемый язык сценариев с открытым исходным кодом для Microsoft Windows, который позволяет создавать макросы и автоматизировать программное обеспечение для выполнения повторяющихся задач в любом приложении Windows.

Независимо от цепочки атак, заражение начинается с исполняемого файла AHK, который продолжает отбрасывать и выполнять различные сценарии VBS, которые в конечном итоге загружают RAT на скомпрометированный компьютер. В одном из вариантов атаки, впервые обнаруженной 31 марта, злоумышленник, стоящий за кампанией, инкапсулировал сброшенную RAT с исполняемым файлом AHK в дополнение к отключению Microsoft Defender путём развёртывания пакетного сценария и файла ярлыка (.LNK), указывающего на этот сценарий.

Была обнаружена вторая версия вредоносного ПО, блокирующая подключения к популярным антивирусным решениям путём подделки файла hosts жертвы. 

Исследователи безопасности из компании Morphisec Labs:

«Эта манипуляция отрицает разрешение DNS для этих доменов, разрешая IP-адрес localhost вместо реального».

Аналогичным образом, другая цепочка загрузчиков, наблюдаемая 26 апреля, включала доставку LimeRAT через VBScript, который затем декодируется в команду PowerShell, которая извлекает полезную нагрузку C #, содержащую исполняемый файл заключительного этапа, из службы платформы совместного использования, подобной Pastebin, под названием "stikked.ch."

Наконец, четвертая цепочка атак, обнаруженная 21 апреля, использовала сценарий AHK для выполнения легитимного приложения, прежде чем удалить сценарий VBScript, который запускает сценарий PowerShell в памяти для получения загрузчика вредоносных программ HCrypt и установки AsyncRAT.

Исследователи Morphisec приписали все различные цепочки атак одному и тому же злоумышленнику, сославшись на сходство сценария AHK и совпадение методов, используемых для отключения Microsoft Defender.

Исследователи безопасности из компании Morphisec Labs:

«По мере того, как злоумышленники изучают базовые меры безопасности, такие как эмуляторы, антивирус и UAC, они разрабатывают методы их обхода и обхода. Изменения техники, подробно описанные в этом отчёте, не повлияли на результативность этих кампаний. Тактические цели остались прежними. Скорее, изменения техники заключались в обходе пассивных мер безопасности. Общим знаменателем этих методов уклонения является злоупотребление памятью процесса, поскольку Обычно это статичная и предсказуемая цель для противника».

Это не первый случай, когда злоумышленники злоупотребляют AutoHotkey для удаления вредоносных программ. В декабре 2020 года исследователи Trend Micro обнаружили программу для похищения учётных данных, написанную на языке сценариев AutoHotkey, которая атаковала финансовые учреждения в США и Канаде.