Πέμπτη, 21 Ιανουαρίου, 20:38
Αρχική security Κακόβουλα AutoHotkey Scripts μολύνουν συστήματα για κατασκοπευτικούς σκοπούς

Κακόβουλα AutoHotkey Scripts μολύνουν συστήματα για κατασκοπευτικούς σκοπούς

scripts

Μία νέα απειλή φαίνεται πως έχει κάνει την εμφάνισή της, κατά την οποία κακόβουλοι hackers χρησιμοποιούν AutoHotkey scripts, για να επιτεθούν στα θύματά τους και να μπορέσουν να αποφύγουν την ανίχνευση ώστε να κλέψουν πληροφορίες και να εγκαταστήσουν περισσότερα payloads. Επιπλέον χρησιμοποιούν το TeamViewer για να αποκτήσουν απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές.

Το AutoHotkey, γνωστό και ως AHK είναι μια γλώσσα προγραμματισμού ανοιχτού κώδικα για τα Windows, που δημιουργήθηκε το 2003, η οποία προσθέτει υποστήριξη συντομεύσεων πληκτρολογίου (hotkeys) στο AutoIt, μια άλλη γλώσσα αυτοματοποίησης των Windows.

Η εγκατάσταση του κακόβουλου AutoHotkey payload, γίνεται μέσω ενός συνημμένου σε ένα email που αποστέλλεται στο θύμα, το οποίο έχει την ονομασία Military Financing.xlsm, που πήρε αυτό το όνομα από το πρόγραμμα Foreign Military Financing (FMF) του Defense Security Cooperation Agency των Η.Π.Α, για να εξαπατήσει πιθανούς στόχους ώστε να ενεργοποιήσουν μακροεντολές που θα προβάλουν τα περιεχόμενα του αρχείου.

Όπως ανακαλύφθηκε από την ερευνητική ομάδα Cyber ​​Threat Research της Trend Micro, μόλις τα θύματα ενεργοποιήσουν τις μακροεντολές στο Microsoft Excel, το έγγραφο XSLM θα εγκαταστήσει κακόβουλο λογισμικό στη συσκευή του θύματος.

Σύμφωνα με τους ερευνητές, το κακόβουλο AutoHotkeyU32.ahk script ακολουθεί την εξής διαδικασία:

  • Δημιουργεί ένα αρχείο συνδέσμου στο φάκελο εκκίνησης για το AutoHotkeyU32.exe, επιτρέποντας έτσι στην επίθεση να επιμένει, ακόμη και μετά την επανεκκίνηση του συστήματος.
  • Συνδέεται στον C & C server κάθε 10 δευτερόλεπτα για να κάνει λήψη, αποθήκευση και εκτέλεση αρχείων που περιέχουν τις εντολές.
  • Στέλνει τον σειριακό αριθμό της μονάδας δίσκου C, ο οποίος επιτρέπει στον εισβολέα να εντοπίσει το θύμα.

Στο τέλος, όπως διαπίστωσαν οι ερευνητές, ένα από τα κακόβουλα scripts που έχουν κατέβει στη συσκευή, εγκαθιστά επίσης ένα αντίγραφο του TeamViewer καθιστώντας δυνατή για τους κακόβουλους παράγοντες την απομακρυσμένη πρόσβαση στους μολυσμένους υπολογιστές.

Τα κίνητρα πίσω από αυτή την επίθεση δεν είναι γνωστά. Ο σκοπός της θα μπορούσε να είναι ενδεχομένως η κατασκοπεία, μιας και στοχεύει θύματα τα οποία δείχνουν κάποιο ενδιαφέρον για τα προγράμματα του Defense Security Cooperation Agency.

Παρόλα αυτά, τα φαινομενικά αβλαβή AutoHotkey scripts, μπορούν να χρησιμοποιηθούν από κακόβουλους hackers, ώστε να εγκαταστήσουν οποιοδήποτε payload, από banking Trojans μέχρι coinminers και backdoors για πιο επικίνδυνα malware, ransomware ή wiper.

Τα στελέχη κακόβουλου λογισμικού που σχετίζονται με AHK εμφανίστηκαν το 2018

Το malware που βασίζεται στο AutoHotkey, άρχισε να εμφανίζεται στις αρχές του 2018 υπό τη μορφή διάφορων εργαλείων εξαπάτησης, ενώ πολλά δείγματα κακόβουλου λογισμικού AHK ανακαλύφθηκαν από την ερευνητική ομάδα ασφάλειας Ixia.

Τα εν λόγω λογισμικά χρησιμοποιούνται για ποικίλους κακόβουλους σκοπούς, όπως είναι το hijacking, το cryptomining κ.α

Μία ακόμα περίπτωση τέτοιου λογισμικού, ανακαλύφθηκε από την ερευνητική ομάδα του Cybereason Nocturnus, όπου ένα στέλεχος κακόβουλου λογισμικού που βασίζεται στο AHK, το οποίο ονομάστηκε Fauxpersky, επιχειρούσε να περάσει ως νόμιμο αντίγραφο του Kaspersky Antivirus.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Mac: Πώς να δείτε ποιο μοντέλο έχετε και πότε κυκλοφόρησε

Όταν χρειάζεστε υποστήριξη για το Mac σας - ή θέλετε να εγκαταστήσετε κάποιο είδος αναβάθμισης - συνήθως πρέπει να γνωρίζετε το ακριβές...
00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...