Le vol d'informations est trop facile! Malicious le script AutoHotkey permet l'accès à distance

2019-04-21 16:34:40

équipe de recherche de Trend Micro Threat Web a récemment découvert que les acteurs de la menace ont commencé à cibler les victimes potentielles, ils ont utilisé un script malveillant AutoHotkey pour éviter la détection. En cas de succès, ils voleront leurs informations, le déploiement de la charge utile plus malveillant, et l'utilisation de logiciels TeamViewer pour accéder à distance à l'équipement de l'ordinateur infecté.

Dès 2003, AutoHotkey (également connu sous le nom AHK) est déjà le langage de script open source pour Windows, ajouter des raccourcis clavier (les touches de raccourci) à un autre support linguistique AutoIt d'automatisation gratuit de Windows.

Vue d'ensemble attaque

AutoHotkey charge utile de script malveillant au moyen de pièces jointes de courrier électronique pour permettre classeur de macros Excel appât pour la distribution, la pièce jointe nommée Financing.xlsm militaire. Après les attaques de financement militaire étranger du projet Defense Security Cooperation Agency des États-Unis (FMF), la menace des acteurs dans l'espoir d'attirer une commande activée macro-cible potentielle pour afficher le contenu du fichier.

équipe de recherche des menaces Trend Micro Web a révélé que la victime une fois que la macro est activée dans Microsoft Excel, document XSLM « Déploiement fichier script moteur de script malveillant légitime et AutoHotkey. »

chaîne d'attaque

Ensuite, le script malveillant sera exécuté, et se connecte automatiquement à sa commande et de contrôle (C & C) serveur pour télécharger plusieurs scripts sur un ordinateur infecté dispositif selon les commandes envoyées par l'attaquant.

Les chercheurs ont analysé l'activité de script AutoHotkeyU32.ahk déployé, et a constaté qu'il exécutera la commande suivante:

  • Créer un lien de fichier dans AutoHotkeyU32.exe le dossier de démarrage, il peut aussi faire en sorte que persistent même après un redémarrage du système.
  • Connexion toutes les 10 secondes au serveur C & C à télécharger, enregistrer et exécuter le fichier de script contenant les commandes.
  • volume de transmission C numéro de série de l'unité de disque, permet à un attaquant d'identifier la victime.

extrait de portion AutoHotkeyu32.ahk

Enfin, les chercheurs ont découvert, dans lequel un script malveillant télécharge une copie du déploiement de TeamViewer, permettre à un attaquant d'accéder à distance les ordinateurs infectés.

« Ces fichiers malveillants permettent à un attaquant d'obtenir le nom de l'ordinateur et de prendre une capture d'écran. Plus important encore, l'un des fichiers peut également télécharger TeamViewer, qui est un outil d'accès à distance qui permet aux acteurs de menacer le système de contrôle à distance, » le rapport Trend Micro il a dit.

appât Excel

Bien que le but de cette activité malicieuse reste à voir, mais derrière les acteurs de la menace peuvent utiliser leur réseau d'espionnage pour recueillir des informations, en particulier compte tenu pour le plus susceptible d'être intéressé par l'Agence de coopération de sécurité de la Défense des États-Unis des projets militaires étrangers financés victimes.

Les pirates utilisent le script AutoHotkey apparemment inoffensif et aide pour éviter la détection, et de déployer toute autre charge utile malveillante, y compris la banque, les chevaux de Troie, logiciels malveillants mineurs backdoors et les logiciels malveillants ransomware plus dangereux ou effacer le disque.

AutoHotkey familles de logiciels malveillants basés commencé à se répandre en 2018

Au début de 2018, sur la base des programmes malveillants AutoHotkey a commencé sous diverses formes de jeu outil triche (plug-in) apparaît, l'équipe de recherche sur la sécurité de Ixia a révélé que plus d'échantillons de logiciels malveillants AutoHotkey distribués mineurs de logiciels de cryptage et presse-papiers programme de hijack en Février de cette année.

Un mois plus tard, l'équipe de recherche Cybereason Nocturnus a trébuché sur un malware basé AutoHotkey, ils seront appelés Fauxpersky, comme il essaie de se faire passer comme Kaspersky (Kaspersky) légitime copie Antivirus.

Indice de compromis (IOC)

Auteur: Gump, reproduit à partir de: http: //www.mottoin.com/detail/3915.html

« La sagesse du Centre-Ouest Valley International Medical » basculement grande industrie de la santé « fusion » groupe de partenaires d'affaires Wuhou dans le quartier animé
Précédent
Île de Pâques pour aller en vacances cette terre « nombril » possession vraiment plein de mystère!
Prochain
LinkedIn autres violations de données à grande échelle, mais refuse également de reconnaître
Maison ancienne à la recherche de sa fille pour échapper à la terreur domestique « Les gens du papier » à vapeur officiellement en vente
acte « Angel soeur » en tant que producteur pour la première fois, portant « et huit sept » à Pékin Film Festival
Choqué! « Sorcières » actrice de 16 ans drame réseau est décédé subitement! Il a nuage étoilé
« La plus grande leçon de l'origami au monde » record du monde est né à Hong Kong
« LOL » promo ton insolent nouvelle peau « vol Jour de l'Indépendance », l'effet est cool!
Grain pluie pluie Santé et beauté Valley, l'été approche
Un risque pour la sécurité des terminaux d'injection de commande à distance, je regarde comment tester (réimpression)
Linchuan: système « carte murale Hero » des valeurs de base Biographie
Les scientifiques chinois d'abord proposé et mis en uvre les points quantiques coquille de Microcavités système couplé dans le monde
« Qi Tan 3 » mode défi de jeu Habayashi mouvements d'adaptation des compétences et de partager des idées
Samsung téléphone à écran pliant 13000 yuans tué! Seulement deux jours! Rappel: Ce film ne peut pas se déchirer