Una delle ultimissime tendenze nel design di malware è AutoHotKey, ricercatori di sicurezza dicono. AutoHotKey o AHK in breve è un linguaggio di scripting open-source che è stato scritto per Windows in 2003.
In dettaglio, il linguaggio open-source è stato inizialmente finalizzato a fornire le scorciatoie da tastiera o tasti di scelta rapida di facile, veloce macro-creazione e l'automazione software per consentire agli utenti di automatizzare le operazioni ripetitive in qualsiasi applicazione di Windows. Lo strumento è stato ampiamente conosciuto nel settore dei giochi in cui i giocatori impiegano al di script compiti monotoni. Tuttavia, Recentemente il suo interprete è stato gonfio di strumenti sofisticati per accedere applicazioni sottostanti, dice Gabriel Cirlig, un ingegnere del software di alto livello, in un post sul blog.
Che cosa è AutoHotKey All About?
AutoHotKey ha una lunga lista di funzionalità a partire da scorciatoie da tastiera, macro-creazione, e software di automazione. Questo non è lo strumento in grado di farlo - può anche impostare Windows Ganci Event, iniettare VBScript / JScript, e anche iniettare DLL in altro processo memoria, l'esperto ha detto. In cima a tutto, dal momento che è uno strumento affidabile che ha raccolto una “consistente comunità”Che ha aiutato spingendo interprete dello strumento nelle whitelist di un numero prevalente di produttori di antivirus.
Sfortunatamente, grazie alla sua capacità di popolarità e whitelisting, AutoHotKey ha attirato l'attenzione dei programmatori di malware che hanno utilizzato il linguaggio di scripting di rimanere inosservato sui sistemi e diffondere vari tipi di payload dannosi.
minacce AHK basata stato anche trovato per distribuire minatori criptovaluta e una particolare dirottatore appunti denominato Evrial.
Mentre esplora la pletora quotidiana di script AHK, abbiamo trovato alcuni frammenti di codice stranamente simile. Si scopre che tutti loro sono basati su un copione popolare per clipbankers in roaming in natura. Il principio di funzionamento di questo malware è semplice: rimane residente in memoria e ascolta per qualsiasi attività nella vostra clipboard. Quando contiene qualcosa di simile a un portafoglio crypto, sostituisce il contenuto con il proprio indirizzo portafoglio, si ingannando così in l'invio di fondi per lui, invece.
Inoltre, ricercatori provenienti da società di sicurezza CyberReason anche inciampato su di malware, un credenziali AHK-based Stealer che “maschera da Kaspersky Antivirus e si diffonde attraverso le unità USB infette". I ricercatori hanno chiamato questo pezzo Fauxpersky.
"Questo keylogger AHK utilizza un metodo relativamente semplice di sé propagazione per diffondere. Dopo l'esecuzione iniziale, il keylogger raccoglie le unità elencate sulla macchina e comincia a replicarsi a loro,”i ricercatori disse.
AHK-Based Malware in rapida evoluzione
Come appare, il campione analizzato da Fauxpersky Cybereason non era affatto complessa. Tuttavia, i ricercatori incontrano più avanzate ed evolute ceppi di malware su base giornaliera. Questi campioni rivelano che i loro programmatori stanno guadagnando più conoscenza su come utilizzare AutoHotKey nelle loro operazioni dannose. L'ultima parte di malware AHK-based ha utilizzato Fife funzioni di offuscamento diverse che si intrecciano tra di loro.
Tutte queste recenti scoperte punto che i programmatori malintenzionati hanno trovato un nuovo strumento di scripting preferito da utilizzare per lo sviluppo di nuovi malware.