Einer der heißesten Trends in der Malware-Design ist AutoHotKey, Sicherheitsforscher sagen. AutoHotKey oder AHK kurz ist eine Open-Source Skriptsprache, die für Windows geschrieben wurde 2003.
Im Detail, die Open-Source-Sprache wurde zunächst auf die Bereitstellung einfache Tastenkombinationen oder Hotkeys Ziel, schnelle Makroerstellung und Software-Automatisierung, damit die Benutzer sich wiederholende Aufgaben in jeder Windows-Anwendung automatisieren. Das Tool wurde in der Gaming-Industrie weithin bekannt, bei denen die Spieler es monotonen Aufgaben Skript verwenden. Jedoch, vor kurzem seine Interpreter wurde mit ausgefeilten Tools aufgebläht zugrunde liegenden Anwendungen zugreifen, sagt Gabriel Cirlig, ein Senior Software Engineer, in einem Blog-Post.
Was ist AutoHotKey All About?
AutoHotKey hat eine große Liste von Fähigkeiten von Tastenkombinationen starten, Makro-creation, und Software-Automatisierung. Das ist nicht das Werkzeug tun kann - es auch Windows-Ereignis Hooks einrichten kann, injizieren VBScript / JScript, DLLs und sogar in anderen Prozess einzuspritzen Memory, sagte der Experte. Obendrein, da es sich um eine seriöse Werkzeug hat es versammelte sich eine „beträchtliche Gemeinschaft“Das hat geholfen das Werkzeug des Dolmetschers in die weiße Listen einer vorherrschenden Anzahl von AV-Hersteller drängen.
Leider, wegen seiner Popularität und weißen Listen-Funktionen, AutoHotKey hat die Aufmerksamkeit von Malware-Programmierer angezogen, die die Skriptsprache verwendet haben unentdeckt auf Systeme zu bleiben und verschiedene Arten von bösartigen Payloads verbreiten.
AHK-basierte Malware wurde auch gefunden Kryptowährung Knappen und eine bestimmte Zwischenablage Entführer verteilen bekannt als Evrial.
Während der Erkundung der täglichen Fülle von Skripten AHK, Wir fanden einige unheimliche Weise ähnlich Code-Schnipsel. Schaltet alle von ihnen aus basieren auf einem populären Skript für clipbankers im wilden Roaming. Das Funktionsprinzip für diese Malware ist einfach: es bleibt im Speicher und wartet auf eine Tätigkeit in der Zwischenablage. Wenn es enthält alles, was ein Krypto-wallet ähnelnd, er ersetzt den Inhalt mit einer eigenen Brieftasche Adresse, so austricksen in Ihnen Mittel an ihn stattdessen zu senden.
Weiter, Forscher aus Sicherheitsfirma CyberReason stolperten auch auf Malware, eine AHK-basierten Anmeldeinformationen stealer, dass „Maskeraden wie Kaspersky Anti-Virus und verbreitet sich über USB-Laufwerke infiziert". Die Forscher nannten dieses Stück Fauxpersky.
"Diese AHK Keylogger verwendet eine ziemlich einfache Methode der Selbstausbreitung zu verbreiten. Nach der ersten Ausführung, der Keylogger sammelt die aufgelisteten Laufwerke auf der Maschine und fängt an, sich zu ihnen zu replizieren," die Forscher sagte.
AHK-basierte Malware schnell Evolving
Wie es scheint,, die Probe durch Fauxpersky Cybereason analysiert war nicht zu komplex. Jedoch, Forscher kommen über erweiterte und Malware-Stämme auf einer täglichen Basis entwickelt. Diese Proben zeigen, dass ihre Programmierer gewinnen mehr Wissen, wie AutoHotKey in ihren bösartigen Operationen zu nutzen. Das neueste Stück von AHK-basiert Malware hat fünf verschiedene Verschleierungsfunktionen verwendet, die sie verflechten.
Alle diese neuen Entdeckungen zeigen, dass böswillige Programmierer ein neues Lieblings Scripting-Tool für die Entwicklung neuer Malware verwenden gefunden.