L'une des tendances les plus chaudes dans la conception de logiciels malveillants est AutoHotKey, les chercheurs en sécurité disent. AutoHotKey ou AHK pour faire court est un langage de script open-source qui a été écrit pour Windows en 2003.
En détail, la langue open source a d'abord pour but de fournir des raccourcis clavier faciles ou raccourcis clavier, rapide macro-création et l'automatisation des logiciels pour permettre aux utilisateurs d'automatiser les tâches répétitives dans toute application Windows. L'outil a été largement connu dans l'industrie du jeu où les joueurs emploient à des tâches monotones de script. Cependant, récemment son interprète a été pléthorique avec des outils sophistiqués pour accéder aux applications sous-jacentes, dit Gabriel Cirlig, un ingénieur logiciel senior, dans un billet de blog.
Qu'est-ce que AutoHotKey All About?
AutoHotKey a une grande liste des capacités à partir de raccourcis clavier, macro-création, et l'automatisation des logiciels. Ce n'est pas l'outil peut faire - il peut également configurer Windows Hooks Event, injecter VBScript / JScript, et même injecter DLL dans un autre processus mémoire, l'expert. En plus de tout, car il est un outil de bonne réputation, il a rassemblé un «importante communauté» Qui a aidé pousser l'interprète de l'outil dans les listes blanches d'un certain nombre de fournisseurs répandu AV.
Malheureusement, en raison de ses capacités de popularité et whitelisting, AutoHotKey a attiré l'attention des codeurs malveillants qui ont été en utilisant le langage de script pour rester inaperçus sur les systèmes et la propagation de divers types de charges utiles malveillants.
logiciels malveillants sur AHK a même été trouvé pour distribuer des mineurs et un presse-papiers crypto-monnaie particulier pirate de l'air connu sous le nom Evrial.
Tout en explorant la pléthore quotidienne des scripts AHK, nous avons trouvé quelques extraits de code sinistrement similaires. Il s'avère que tous sont basées sur un script populaire pour clipbankers itinérance dans la nature. Le principe de fonctionnement de ce malware est simple: il reste résident en mémoire et à l'écoute pour toute activité dans votre presse-papiers. Quand il contient quelque chose qui ressemble à un porte-monnaie Crypto, il remplace le contenu avec sa propre adresse de portefeuille, ainsi vous incitant à envoyer des fonds pour lui à la place.
En outre, des chercheurs de la firme de sécurité CyberReason également trébuché sur les logiciels malveillants, une identification basées sur AHK-Stealer que «Kaspersky Antivirus comme mascarades et se propage par les lecteurs USB infectés". Les chercheurs ont nommé cette pièce Fauxpersky.
"Ce keylogger AHK utilise une méthode assez simple d'auto propagation de se propager. Après l'exécution initiale, le keylogger regroupe les lecteurs répertoriés sur la machine et commence à se reproduire pour les," les chercheurs dit.
AHK-Based Malware rapidement Evolving
Comme il apparaît, l'échantillon analysé par Fauxpersky Cybereason était pas du tout complexe. Cependant, les chercheurs viennent à travers plus avancé et évolué codes malveillants sur une base quotidienne. Ces échantillons révèlent que leurs codeurs gagnent plus de connaissances sur la façon d'utiliser AutoHotKey dans leurs opérations malicieuses. Le dernier morceau de logiciels malveillants sur AHK a utilisé des fonctions différentes fifre d'obscurcissement qui s'entrelacent les uns des autres.
Toutes ces découvertes récentes indiquent que les codeurs malveillants ont trouvé un nouvel outil de script favori à utiliser pour le développement de nouveaux logiciels malveillants.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: