Μία νέα απειλή φαίνεται πως έχει κάνει την εμφάνισή της, κατά την οποία κακόβουλοι hackers χρησιμοποιούν AutoHotkey scripts, για να επιτεθούν στα θύματά τους και να μπορέσουν να αποφύγουν την ανίχνευση ώστε να κλέψουν πληροφορίες και να εγκαταστήσουν περισσότερα payloads. Επιπλέον χρησιμοποιούν το TeamViewer για να αποκτήσουν απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές.
Το AutoHotkey, γνωστό και ως AHK είναι μια γλώσσα προγραμματισμού ανοιχτού κώδικα για τα Windows, που δημιουργήθηκε το 2003, η οποία προσθέτει υποστήριξη συντομεύσεων πληκτρολογίου (hotkeys) στο AutoIt, μια άλλη γλώσσα αυτοματοποίησης των Windows.
Η εγκατάσταση του κακόβουλου AutoHotkey payload, γίνεται μέσω ενός συνημμένου σε ένα email που αποστέλλεται στο θύμα, το οποίο έχει την ονομασία Military Financing.xlsm, που πήρε αυτό το όνομα από το πρόγραμμα Foreign Military Financing (FMF) του Defense Security Cooperation Agency των Η.Π.Α, για να εξαπατήσει πιθανούς στόχους ώστε να ενεργοποιήσουν μακροεντολές που θα προβάλουν τα περιεχόμενα του αρχείου.
Όπως ανακαλύφθηκε από την ερευνητική ομάδα Cyber Threat Research της Trend Micro, μόλις τα θύματα ενεργοποιήσουν τις μακροεντολές στο Microsoft Excel, το έγγραφο XSLM θα εγκαταστήσει κακόβουλο λογισμικό στη συσκευή του θύματος.
Σύμφωνα με τους ερευνητές, το κακόβουλο AutoHotkeyU32.ahk script ακολουθεί την εξής διαδικασία:
- Δημιουργεί ένα αρχείο συνδέσμου στο φάκελο εκκίνησης για το AutoHotkeyU32.exe, επιτρέποντας έτσι στην επίθεση να επιμένει, ακόμη και μετά την επανεκκίνηση του συστήματος.
- Συνδέεται στον C & C server κάθε 10 δευτερόλεπτα για να κάνει λήψη, αποθήκευση και εκτέλεση αρχείων που περιέχουν τις εντολές.
- Στέλνει τον σειριακό αριθμό της μονάδας δίσκου C, ο οποίος επιτρέπει στον εισβολέα να εντοπίσει το θύμα.
Στο τέλος, όπως διαπίστωσαν οι ερευνητές, ένα από τα κακόβουλα scripts που έχουν κατέβει στη συσκευή, εγκαθιστά επίσης ένα αντίγραφο του TeamViewer καθιστώντας δυνατή για τους κακόβουλους παράγοντες την απομακρυσμένη πρόσβαση στους μολυσμένους υπολογιστές.
Τα κίνητρα πίσω από αυτή την επίθεση δεν είναι γνωστά. Ο σκοπός της θα μπορούσε να είναι ενδεχομένως η κατασκοπεία, μιας και στοχεύει θύματα τα οποία δείχνουν κάποιο ενδιαφέρον για τα προγράμματα του Defense Security Cooperation Agency.
Παρόλα αυτά, τα φαινομενικά αβλαβή AutoHotkey scripts, μπορούν να χρησιμοποιηθούν από κακόβουλους hackers, ώστε να εγκαταστήσουν οποιοδήποτε payload, από banking Trojans μέχρι coinminers και backdoors για πιο επικίνδυνα malware, ransomware ή wiper.
Τα στελέχη κακόβουλου λογισμικού που σχετίζονται με AHK εμφανίστηκαν το 2018
Το malware που βασίζεται στο AutoHotkey, άρχισε να εμφανίζεται στις αρχές του 2018 υπό τη μορφή διάφορων εργαλείων εξαπάτησης, ενώ πολλά δείγματα κακόβουλου λογισμικού AHK ανακαλύφθηκαν από την ερευνητική ομάδα ασφάλειας Ixia.
Τα εν λόγω λογισμικά χρησιμοποιούνται για ποικίλους κακόβουλους σκοπούς, όπως είναι το hijacking, το cryptomining κ.α
Μία ακόμα περίπτωση τέτοιου λογισμικού, ανακαλύφθηκε από την ερευνητική ομάδα του Cybereason Nocturnus, όπου ένα στέλεχος κακόβουλου λογισμικού που βασίζεται στο AHK, το οποίο ονομάστηκε Fauxpersky, επιχειρούσε να περάσει ως νόμιμο αντίγραφο του Kaspersky Antivirus.
