Una de las últimas tendencias en diseño de software malicioso es AutoHotKey, los investigadores de seguridad dicen. AutoHotKey o AHK para abreviar es un lenguaje de programación de código abierto que fue escrito para Windows en 2003.
En detalle, el lenguaje de código abierto fue dirigida inicialmente a proporcionar fáciles atajos de teclado o teclas de acceso rápido, macro-rápida creación y automatización de software para permitir a los usuarios automatizar tareas repetitivas en cualquier aplicación de Windows. La herramienta ha sido ampliamente conocido en la industria del juego donde los jugadores emplean para tareas monótonas secuencias de comandos. Sin embargo, recientemente su intérprete ha sido hinchado con herramientas sofisticadas para acceder a las aplicaciones subyacentes, dice Gabriel Cirlig, un ingeniero de software senior, en un blog.
¿Qué es todo sobre AutoHotKey?
AutoHotKey tiene una gran lista de capacidades a partir de atajos de teclado, macro-creación, y la automatización de software. Esa no es la herramienta puede hacer - que también puede configurar Windows ganchos Evento, inyectar VBScript / JScript, e incluso inyectar DLL en otro proceso de la memoria, el experto dijo. Por encima de todo, ya que es una herramienta de buena reputación se ha reunido un “comunidad importante”Que ha ayudado a empujar el intérprete de la herramienta en las listas blancas de un número predominante de los vendedores de AV.
Desafortunadamente, debido a sus capacidades de popularidad y listas blancas, AutoHotKey ha atraído la atención de los programadores de malware que han estado utilizando el lenguaje de script para no ser detectados en los sistemas y difundir diferentes tipos de cargas maliciosas.
malware basado en AHK se encuentra incluso para distribuir los mineros criptomoneda y un secuestrador portapapeles particular, conocido como Evrial.
Si bien la exploración de la gran cantidad diaria de guiones AHK, hemos encontrado algunos fragmentos de código inquietantemente similares. Resulta que todos ellos se basan en un guión popular para clipbankers itinerancia en la naturaleza. El principio de funcionamiento de este malware es simple: se queda residente en memoria y se detecta ninguna actividad en el portapapeles. Cuando contiene nada parecido a una cartera de cifrado, que sustituye el contenido con su propia dirección cartera, que engañar tanto en el envío de los fondos a él en vez.
Además, los investigadores de la empresa de seguridad CyberReason también tropezaron con el malware, un credenciales basadas en AHK ladrón de que “se hace pasar por Kaspersky Antivirus y se propaga a través de unidades USB infectadas". Los investigadores llamaron a este pedazo Fauxpersky.
"Este keylogger AHK utiliza un método bastante sencillo de auto propagación de difundir. Después de la ejecución inicial, el keylogger reúne las unidades listadas en la máquina y comienza a replicarse a sí mismo a ellos," los investigadores dijo.
Basado-AHK Malware rápida evolución
Como aparece, la muestra Fauxpersky analizado por Cybereason no era en absoluto complejo. Sin embargo, los investigadores se encuentran con más avanzado y evolucionado de malware a diario. Estas muestras revelan que sus codificadores están ganando más conocimiento de cómo utilizar AutoHotKey en sus operaciones maliciosos. La última pieza de malware basado en AHK ha utilizado diferentes funciones de ofuscación Fife que se entrelazan entre sí.
Todos estos descubrimientos recientes señalan que los codificadores maliciosos han encontrado una nueva herramienta de script favorito a utilizar para el desarrollo de nuevos programas maliciosos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: