Een van de heetste trends in malware ontwerp is AutoHotKey, security onderzoekers zeggen. AutoHotKey of AHK voor de korte is een open-source scripttaal die voor Windows in werd geschreven 2003.
In detail, de open-source taal was in eerste instantie gericht op het verstrekken gemakkelijk sneltoetsen of sneltoetsen, fast macro-creatie en software automatisering om gebruikers in staat om repetitieve taken te automatiseren in elke Windows-applicatie. De tool is algemeen bekend in de gaming-industrie, waar gamers in dienst aan script monotone taken. Echter, onlangs zijn tolk is overladen met geavanceerde tools om toegang te krijgen tot de onderliggende apps, zegt Gabriel Cirlig, een senior software engineer, in een blog post.
Wat is AutoHotKey All About?
AutoHotKey heeft een grote lijst van mogelijkheden vanaf sneltoetsen, macro-creatie, en software automatisering. Dat is niet de tool kan doen - het kan ook het opzetten van Windows Event Hooks, injecteren VBScript / JScript, en zelfs DLL's in een ander proces injecteren geheugen, De deskundige zei. Op de top van alles, want het is een gerenommeerd hulpmiddel het heeft verzamelde een “omvangrijke community”Dat heeft geholpen duwen tolk van het gereedschap in de whitelists van een overwegend aantal AV leveranciers.
Helaas, vanwege de populariteit en whitelisting mogelijkheden, AutoHotKey heeft de aandacht van malware programmeurs die met behulp van de scripttaal ongemerkt op systemen te blijven en te verspreiden verschillende soorten kwaadaardige payloads zijn aangetrokken.
AHK-gebaseerde malware werd zelfs gevonden om cryptogeld mijnwerkers en een bepaalde klembord kaper bekend als distribueren Evrial.
Tijdens het verkennen van de dagelijkse overvloed aan AHK scripts, we een aantal griezelig soortgelijke stukjes code gevonden. Blijkt dat ze allemaal zijn gebaseerd op een populaire script voor clipbankers roaming in het wild. Het werkingsprincipe van deze malware eenvoudig: het blijft resident in het geheugen en luistert naar alle activiteiten in uw klembord. Als het iets dat lijkt op een crypto portemonnee bevat, het vervangt de inhoud met zijn eigen portemonnee adres, dus tricking je in fondsen te sturen naar hem plaats.
Bovendien, onderzoekers van beveiligingsbedrijf CyberReason struikelde ook af van malware, een-AHK gebaseerde referenties stealer dat “voordoet als Kaspersky Antivirus en verspreidt zich via besmette USB-drives". Onderzoekers noemde dit stuk Fauxpersky.
"Dit AHK keylogger gebruikt een vrij eenvoudige methode van zelf vermeerdering te verspreiden. Na de eerste uitvoering, de keylogger verzamelt de vermelde stations op de machine en begint zich te repliceren om hen," de onderzoekers zei.
AHK-Based Malware evolueert snel
Zoals blijkt, Fauxpersky het monster door Cybereason geanalyseerd was helemaal complexe. Echter, onderzoekers tegenkomen meer geavanceerde en ontwikkelde malware stammen op een dagelijkse basis. Deze monsters blijkt dat de codeurs worden steeds meer kennis in hoe AutoHotKey te gebruiken in hun kwaadaardige activiteiten. De laatste stuk AHK-gebaseerde malware gebruikt fife vertroebeling verschillende functies die elkaar verstrengelen.
Al deze recente ontdekkingen wijzen dat kwaadwillende programmeurs een nieuwe favoriet scripting tool om te gebruiken voor de ontwikkeling van nieuwe malware gevonden.