équipe de recherche de Trend Micro Threat Web a récemment découvert que les acteurs de la menace ont commencé à cibler les victimes potentielles, ils ont utilisé un script malveillant AutoHotkey pour éviter la détection. En cas de succès, ils voleront leurs informations, le déploiement de la charge utile plus malveillant, et l'utilisation de logiciels TeamViewer pour accéder à distance à l'équipement de l'ordinateur infecté.
Dès 2003, AutoHotkey (également connu sous le nom AHK) est déjà le langage de script open source pour Windows, ajouter des raccourcis clavier (les touches de raccourci) à un autre support linguistique AutoIt d'automatisation gratuit de Windows.
Vue d'ensemble attaque
AutoHotkey charge utile de script malveillant au moyen de pièces jointes de courrier électronique pour permettre classeur de macros Excel appât pour la distribution, la pièce jointe nommée Financing.xlsm militaire. Après les attaques de financement militaire étranger du projet Defense Security Cooperation Agency des États-Unis (FMF), la menace des acteurs dans l'espoir d'attirer une commande activée macro-cible potentielle pour afficher le contenu du fichier.
équipe de recherche des menaces Trend Micro Web a révélé que la victime une fois que la macro est activée dans Microsoft Excel, document XSLM « Déploiement fichier script moteur de script malveillant légitime et AutoHotkey. »
chaîne d'attaqueEnsuite, le script malveillant sera exécuté, et se connecte automatiquement à sa commande et de contrôle (C & C) serveur pour télécharger plusieurs scripts sur un ordinateur infecté dispositif selon les commandes envoyées par l'attaquant.
Les chercheurs ont analysé l'activité de script AutoHotkeyU32.ahk déployé, et a constaté qu'il exécutera la commande suivante:
- Créer un lien de fichier dans AutoHotkeyU32.exe le dossier de démarrage, il peut aussi faire en sorte que persistent même après un redémarrage du système.
- Connexion toutes les 10 secondes au serveur C & C à télécharger, enregistrer et exécuter le fichier de script contenant les commandes.
- volume de transmission C numéro de série de l'unité de disque, permet à un attaquant d'identifier la victime.
Enfin, les chercheurs ont découvert, dans lequel un script malveillant télécharge une copie du déploiement de TeamViewer, permettre à un attaquant d'accéder à distance les ordinateurs infectés.
« Ces fichiers malveillants permettent à un attaquant d'obtenir le nom de l'ordinateur et de prendre une capture d'écran. Plus important encore, l'un des fichiers peut également télécharger TeamViewer, qui est un outil d'accès à distance qui permet aux acteurs de menacer le système de contrôle à distance, » le rapport Trend Micro il a dit.
appât ExcelBien que le but de cette activité malicieuse reste à voir, mais derrière les acteurs de la menace peuvent utiliser leur réseau d'espionnage pour recueillir des informations, en particulier compte tenu pour le plus susceptible d'être intéressé par l'Agence de coopération de sécurité de la Défense des États-Unis des projets militaires étrangers financés victimes.
Les pirates utilisent le script AutoHotkey apparemment inoffensif et aide pour éviter la détection, et de déployer toute autre charge utile malveillante, y compris la banque, les chevaux de Troie, logiciels malveillants mineurs backdoors et les logiciels malveillants ransomware plus dangereux ou effacer le disque.
AutoHotkey familles de logiciels malveillants basés commencé à se répandre en 2018
Au début de 2018, sur la base des programmes malveillants AutoHotkey a commencé sous diverses formes de jeu outil triche (plug-in) apparaît, l'équipe de recherche sur la sécurité de Ixia a révélé que plus d'échantillons de logiciels malveillants AutoHotkey distribués mineurs de logiciels de cryptage et presse-papiers programme de hijack en Février de cette année.
Un mois plus tard, l'équipe de recherche Cybereason Nocturnus a trébuché sur un malware basé AutoHotkey, ils seront appelés Fauxpersky, comme il essaie de se faire passer comme Kaspersky (Kaspersky) légitime copie Antivirus.
Indice de compromis (IOC)
Auteur: Gump, reproduit à partir de: http: //www.mottoin.com/detail/3915.html