Et af de hotteste tendenser i malware design er AutoHotkey, sikkerhedseksperter siger. AutoHotkey eller AHK for korte, er en open-source scripting sprog, der blev skrevet til Windows i 2003.
I detaljer, open source sprog blev oprindeligt til formål at yde let tastaturgenveje eller genvejstaster, hurtig makro-skabelse og software automatisering at give brugerne mulighed for at automatisere gentagne opgaver i alle Windows-program. Værktøjet er blevet bredt kendt i gaming industrien, hvor spillerne benytter det til script monotone opgaver. Men, nylig sin tolk er blevet oppustet med avancerede værktøjer til at få adgang underliggende apps, siger Gabriel Cirlig, en ledende software ingeniør, i et blogindlæg.
Hvad er AutoHotkey All About?
AutoHotkey har en lang liste af muligheder startende fra tastaturgenveje, makro-creation, og software automatisering. Det er ikke værktøjet kan gøre - det kan også oprette Windows Event Kroge, injicere VBScript / JScript, og selv injicere DLL'er i andre proces memory, eksperten sagde. Oven på alt, da det er et velrenommeret værktøj den har indsamlet en ”betragtelig samfund”, Der har hjulpet skubbe værktøjets tolk i whitelister af en fremherskende antal AV-leverandører.
Desværre, på grund af sin popularitet og Whitelisting kapaciteter, AutoHotkey har tiltrukket sig opmærksomhed fra malware programmører, der har været ved hjælp af scriptsprog til at forblive uopdaget på systemer og sprede forskellige former for ondsindede nyttelast.
AHK-baserede malware blev endda fundet at distribuere cryptocurrency minearbejdere og en bestemt udklipsholder flykaprer kendt som Evrial.
Mens udforske den daglige overflod af AHK scripts, vi fandt nogle uhyggeligt lignende kodedele. Viser sig alle af dem er baseret på en populær script til clipbankers roaming i naturen. Princippet for operation for denne malware er enkel: det forbliver bosiddende i hukommelsen og lytter efter enhver aktivitet i din udklipsholder. Når den indeholder noget, der ligner en krypto tegnebog, den erstatter indholdet med sin egen tegnebog adresse, dermed narre dig til at sende penge til ham i stedet.
Endvidere, forskere fra vagtselskab CyberReason snublede også af malware, en AHK-baserede legitimationsoplysninger stjæler, at ”maskerader som Kaspersky Anti-Virus og spredes gennem inficerede USB-drev". Forskere opkaldt dette stykke Fauxpersky.
"Denne AHK keylogger anvender en forholdsvis ligetil metode til selv formering at sprede. Efter den første udførelse, keylogger samler de anførte drev på maskinen og begynder at kopiere sig selv til dem,”forskerne sagde.
AHK-Baseret Malware hurtigt Evolving
Som det fremgår, den Fauxpersky prøve analyseret af Cybereason var slet ikke kompliceret. Men, forskere kommer på tværs af mere avancerede og udviklede malware stammer på daglig basis. Disse prøver viser, at deres kodere vinder mere viden i hvordan man udnytter AutoHotkey i deres ondsindede operationer. Den seneste stykke AHK-baserede malware er brugt fife forskellige formørkelse funktioner, intertwine hinanden.
Alle disse nye opdagelser peger, at ondsindede kodere har fundet en ny favorit scripting værktøj til at bruge til udvikling af nye malware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: