Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại đang diễn ra dựa nhiều vào ngôn ngữ kịch bản AutoHotkey (AHK) để cung cấp nhiều trojan truy cập từ xa (RAT) như Revenge RAT, LimeRAT, AsyncRAT, Houdini và Vjw0rm trên các hệ thống Windows mục tiêu.
Theo các nhà nghiên cứu từ Morphisec Labs, ít nhất bốn phiên bản khác nhau của chiến dịch đã được phát hiện bắt đầu từ tháng 2 năm 2021.
“Chiến dịch phân phối RAT bắt đầu từ tập lệnh được biên dịch của AutoHotKey (AHK)”, các nhà nghiên cứu lưu ý. “Đây là một tệp thực thi độc lập chứa những thứ sau: trình thông dịch AHK, tập lệnh AHK và bất kỳ tệp nào mà nó đã kết hợp thông qua FileInstall chỉ huy. Trong chiến dịch này, những kẻ tấn công kết hợp các tập lệnh / tệp thực thi độc hại cùng với một ứng dụng hợp pháp để che giấu ý định của chúng. “
AutoHotkey là một ngôn ngữ kịch bản tùy chỉnh mã nguồn mở dành cho Microsoft Windows nhằm cung cấp các phím nóng dễ dàng để tạo macro và tự động hóa phần mềm, cho phép người dùng tự động hóa các tác vụ lặp đi lặp lại trong bất kỳ ứng dụng Windows nào.
Bất kể chuỗi tấn công là gì, sự lây nhiễm bắt đầu với một tệp thực thi AHK tiến hành thả và thực thi các VBScrip khác nhau cuối cùng tải RAT trên máy bị xâm nhập. Trong một biến thể của cuộc tấn công được phát hiện lần đầu tiên vào ngày 31 tháng 3, kẻ thù đằng sau chiến dịch đã đóng gói RAT bị loại bỏ bằng tệp thực thi AHK, ngoài việc vô hiệu hóa Microsoft Defender bằng cách triển khai tập lệnh Batch và tệp lối tắt (.LNK) trỏ đến tập lệnh đó.
Phiên bản thứ hai của phần mềm độc hại đã được tìm thấy để chặn kết nối với các giải pháp chống vi-rút phổ biến bằng cách giả mạo nạn nhân tệp máy chủ. Các nhà nghiên cứu giải thích: “Thao tác này từ chối phân giải DNS cho các tên miền đó bằng cách phân giải địa chỉ IP localhost thay vì địa chỉ thực”.
Theo cách tương tự, một chuỗi trình tải khác được quan sát vào ngày 26 tháng 4 liên quan đến việc phân phối LimeRAT thông qua VBScript bị xáo trộn, sau đó được giải mã thành lệnh PowerShell để truy xuất tải trọng C # chứa tệp thực thi giai đoạn cuối từ dịch vụ nền tảng chia sẻ giống Pastebin có tên ” stikked.ch. “
Cuối cùng, một chuỗi tấn công thứ tư được phát hiện vào ngày 21 tháng 4 đã sử dụng tập lệnh AHK để thực thi một ứng dụng hợp pháp, trước khi thả VBScript chạy tập lệnh PowerShell trong bộ nhớ để tìm nạp trình tải phần mềm độc hại HCrypt và cài đặt AsyncRAT.
Các nhà nghiên cứu của Morphisec quy tất cả các chuỗi tấn công khác nhau cho cùng một tác nhân đe dọa, trích dẫn các điểm tương đồng trong tập lệnh AHK và sự trùng lặp trong các kỹ thuật được sử dụng để vô hiệu hóa Microsoft Defender.
Các nhà nghiên cứu cho biết: “Khi các tác nhân đe dọa nghiên cứu các biện pháp kiểm soát bảo mật cơ bản như trình giả lập, chống vi-rút và UAC, họ phát triển các kỹ thuật để vượt qua và trốn tránh chúng,” các nhà nghiên cứu cho biết. “Các thay đổi kỹ thuật được nêu chi tiết trong báo cáo này không ảnh hưởng đến tác động của các chiến dịch này. Các mục tiêu chiến thuật vẫn giữ nguyên. Thay vào đó, các thay đổi kỹ thuật là để bỏ qua các biện pháp kiểm soát bảo mật thụ động. Một mẫu số chung giữa các kỹ thuật né tránh này là lạm dụng bộ nhớ quy trình vì nó thường là một mục tiêu tĩnh và có thể dự đoán được cho kẻ thù. “
Đây không phải là lần đầu tiên các đối thủ lạm dụng AutoHotkey để thả phần mềm độc hại. Vào tháng 12 năm 2020, các nhà nghiên cứu của Trend Micro không che đậy một trình đánh cắp thông tin xác thực được viết bằng ngôn ngữ viết mã AutoHotkey đã chỉ ra các tổ chức tài chính ở Hoa Kỳ và Canada.
