Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Преступники используют AutoHotkey для загрузки троянов для удаленного доступа

19/05/21

hack5-4Исследователи в области кибербезопасности из Morphisec Labs сообщили о текущей вредоносной кампании, операторы которой используют язык скриптов AutoHotkey (AHK) для распространения троянов для удаленного доступа (RAT), таких как Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm.

По словам исследователей, с февраля 2021 года было обнаружено как минимум четыре различные версии кампании.

«Кампания по распространению RAT начинается со скрипта, скомпилированного AutoHotKey (AHK). Автономный исполняемый файл содержит интерпретатор AHK, скрипт AHK и любые файлы, внедренные с помощью команды FileInstall. В этой кампании злоумышленники включают вредоносные скрипты и исполняемые файлы вместе с легитимным приложением с целью скрыть свои намерения», — пояснили эксперты.

Независимо от вида кампании, заражение начинается с исполняемого файла AHK, который загружает и выполняет различные скрипты VBScripts для загрузки RAT на скомпрометированный компьютер. В одном из вариантов атаки злоумышленник связал RAT с исполняемым файлом AHK в дополнение к отключению Microsoft Defender путем установки пакетного скрипта и файла ярлыка (.LNK), указывающего на данный скрипт.

Была обнаружена вторая версия вредоносного ПО, блокирующая подключения к популярным антивирусным решениям путем подделки файла hosts на системе жертвы. Третья кампания включала доставку LimeRAT через обфусцированный VBScript, который затем декодируется в команду PowerShell, загружает полезную нагрузку на языке C# с исполняемым файлом заключительного этапа из сервиса stikked.ch.

В рамках четвертой кампании преступник использовал AHK для выполнения легитимного приложения, прежде чем удалить скрипт VBScript, который запускает PowerShell-скрипт в памяти для запуска загрузчика вредоносных программ HCrypt и установки AsyncRAT.

Исследователи Morphisec связали все вредоносные кампании с одним и тем же злоумышленником, сославшись на сходство скрипта AHK и совпадение методов, используемых для отключения Microsoft Defender.

AutoHotkey — настраиваемый язык скриптов с открытым исходным кодом для Microsoft Windows, предоставляющий простые горячие клавиши для создания макросов и автоматизации программного обеспечения.

Темы:УгрозытрояныRAT
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...