Преступники используют AutoHotkey для загрузки троянов для удаленного доступа

Преступники используют AutoHotkey для загрузки троянов для удаленного доступа

С февраля 2021 года было обнаружено как минимум четыре различные версии вредоносной кампании.

Исследователи в области кибербезопасности из Morphisec Labs сообщили о текущей вредоносной кампании, операторы которой используют язык скриптов AutoHotkey (AHK) для распространения троянов для удаленного доступа (RAT), таких как Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm.

По словам исследователей, с февраля 2021 года было обнаружено как минимум четыре различные версии кампании.

«Кампания по распространению RAT начинается со скрипта, скомпилированного AutoHotKey (AHK). Автономный исполняемый файл содержит интерпретатор AHK, скрипт AHK и любые файлы, внедренные с помощью команды FileInstall. В этой кампании злоумышленники включают вредоносные скрипты и исполняемые файлы вместе с легитимным приложением с целью скрыть свои намерения», — пояснили эксперты.

Независимо от вида кампании, заражение начинается с исполняемого файла AHK, который загружает и выполняет различные скрипты VBScripts для загрузки RAT на скомпрометированный компьютер. В одном из вариантов атаки злоумышленник связал RAT с исполняемым файлом AHK в дополнение к отключению Microsoft Defender путем установки пакетного скрипта и файла ярлыка (.LNK), указывающего на данный скрипт.

Была обнаружена вторая версия вредоносного ПО, блокирующая подключения к популярным антивирусным решениям путем подделки файла hosts на системе жертвы. Третья кампания включала доставку LimeRAT через обфусцированный VBScript, который затем декодируется в команду PowerShell, загружает полезную нагрузку на языке C# с исполняемым файлом заключительного этапа из сервиса stikked.ch.

В рамках четвертой кампании преступник использовал AHK для выполнения легитимного приложения, прежде чем удалить скрипт VBScript, который запускает PowerShell-скрипт в памяти для запуска загрузчика вредоносных программ HCrypt и установки AsyncRAT.

Исследователи Morphisec связали все вредоносные кампании с одним и тем же злоумышленником, сославшись на сходство скрипта AHK и совпадение методов, используемых для отключения Microsoft Defender.

AutoHotkey — настраиваемый язык скриптов с открытым исходным кодом для Microsoft Windows, предоставляющий простые горячие клавиши для создания макросов и автоматизации программного обеспечения.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!