Κυριακή, 5 Απριλίου, 08:12
Αρχική security Κακόβουλα AutoHotkey Scripts μολύνουν συστήματα για κατασκοπευτικούς σκοπούς

Κακόβουλα AutoHotkey Scripts μολύνουν συστήματα για κατασκοπευτικούς σκοπούς

scripts

Μία νέα απειλή φαίνεται πως έχει κάνει την εμφάνισή της, κατά την οποία κακόβουλοι hackers χρησιμοποιούν AutoHotkey scripts, για να επιτεθούν στα θύματά τους και να μπορέσουν να αποφύγουν την ανίχνευση ώστε να κλέψουν πληροφορίες και να εγκαταστήσουν περισσότερα payloads. Επιπλέον χρησιμοποιούν το TeamViewer για να αποκτήσουν απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές.

Το AutoHotkey, γνωστό και ως AHK είναι μια γλώσσα προγραμματισμού ανοιχτού κώδικα για τα Windows, που δημιουργήθηκε το 2003, η οποία προσθέτει υποστήριξη συντομεύσεων πληκτρολογίου (hotkeys) στο AutoIt, μια άλλη γλώσσα αυτοματοποίησης των Windows.

Η εγκατάσταση του κακόβουλου AutoHotkey payload, γίνεται μέσω ενός συνημμένου σε ένα email που αποστέλλεται στο θύμα, το οποίο έχει την ονομασία Military Financing.xlsm, που πήρε αυτό το όνομα από το πρόγραμμα Foreign Military Financing (FMF) του Defense Security Cooperation Agency των Η.Π.Α, για να εξαπατήσει πιθανούς στόχους ώστε να ενεργοποιήσουν μακροεντολές που θα προβάλουν τα περιεχόμενα του αρχείου.

Όπως ανακαλύφθηκε από την ερευνητική ομάδα Cyber ​​Threat Research της Trend Micro, μόλις τα θύματα ενεργοποιήσουν τις μακροεντολές στο Microsoft Excel, το έγγραφο XSLM θα εγκαταστήσει κακόβουλο λογισμικό στη συσκευή του θύματος.

Σύμφωνα με τους ερευνητές, το κακόβουλο AutoHotkeyU32.ahk script ακολουθεί την εξής διαδικασία:

  • Δημιουργεί ένα αρχείο συνδέσμου στο φάκελο εκκίνησης για το AutoHotkeyU32.exe, επιτρέποντας έτσι στην επίθεση να επιμένει, ακόμη και μετά την επανεκκίνηση του συστήματος.
  • Συνδέεται στον C & C server κάθε 10 δευτερόλεπτα για να κάνει λήψη, αποθήκευση και εκτέλεση αρχείων που περιέχουν τις εντολές.
  • Στέλνει τον σειριακό αριθμό της μονάδας δίσκου C, ο οποίος επιτρέπει στον εισβολέα να εντοπίσει το θύμα.

Στο τέλος, όπως διαπίστωσαν οι ερευνητές, ένα από τα κακόβουλα scripts που έχουν κατέβει στη συσκευή, εγκαθιστά επίσης ένα αντίγραφο του TeamViewer καθιστώντας δυνατή για τους κακόβουλους παράγοντες την απομακρυσμένη πρόσβαση στους μολυσμένους υπολογιστές.

Τα κίνητρα πίσω από αυτή την επίθεση δεν είναι γνωστά. Ο σκοπός της θα μπορούσε να είναι ενδεχομένως η κατασκοπεία, μιας και στοχεύει θύματα τα οποία δείχνουν κάποιο ενδιαφέρον για τα προγράμματα του Defense Security Cooperation Agency.

Παρόλα αυτά, τα φαινομενικά αβλαβή AutoHotkey scripts, μπορούν να χρησιμοποιηθούν από κακόβουλους hackers, ώστε να εγκαταστήσουν οποιοδήποτε payload, από banking Trojans μέχρι coinminers και backdoors για πιο επικίνδυνα malware, ransomware ή wiper.

Τα στελέχη κακόβουλου λογισμικού που σχετίζονται με AHK εμφανίστηκαν το 2018

Το malware που βασίζεται στο AutoHotkey, άρχισε να εμφανίζεται στις αρχές του 2018 υπό τη μορφή διάφορων εργαλείων εξαπάτησης, ενώ πολλά δείγματα κακόβουλου λογισμικού AHK ανακαλύφθηκαν από την ερευνητική ομάδα ασφάλειας Ixia.

Τα εν λόγω λογισμικά χρησιμοποιούνται για ποικίλους κακόβουλους σκοπούς, όπως είναι το hijacking, το cryptomining κ.α

Μία ακόμα περίπτωση τέτοιου λογισμικού, ανακαλύφθηκε από την ερευνητική ομάδα του Cybereason Nocturnus, όπου ένα στέλεχος κακόβουλου λογισμικού που βασίζεται στο AHK, το οποίο ονομάστηκε Fauxpersky, επιχειρούσε να περάσει ως νόμιμο αντίγραφο του Kaspersky Antivirus.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Απομακρυσμένη εργασία: Πώς μπορούν να “επιβιώσουν” οι επιχειρήσεις;

Η απομακρυσμένη εργασία είναι μία πολιτική που ακολουθούν επιχειρήσεις όλων των μεγεθών ενόψει της πανδημίας του Κορωνοϊού. Τις τελευταίες εβδομάδες έχει σημειωθεί...

Samsung: Δωρεά αξίας $ 29 εκατομμυρίων για την μάχη ενάντια στον κορωνοϊό

Η Samsung Electronics προχώρησε σε μια δωρεά αξίας $ 29 εκατομμυρίων σε κυβερνήσεις και κοινότητες που έχουν...

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι;

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι; Έχετε αναρωτηθεί αν αυτές τις μέρες -λόγω πανδημίας η πλειοψηφία εργάζεται από...

Επιθέσεις Ransomware και DDoS: Οι κυβερνοεγκληματίες εντείνουν τις δραστηριότητές τους εν μέσω του κορωνοϊού

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τις ανησυχίες γύρω από την επιδημία του κορωνοϊού σε μια προσπάθεια μεγιστοποίησης του αντίκτυπου των επιθέσεων...

Ερευνητές προτείνουν μέθοδο παρακολούθησης του κορωνοϊού μέσω των smartphone

Καθώς ο COVID-19 συνεχίζει να εξαπλώνεται, οι ερευνητικές ομάδες σε ολόκληρο τον κόσμο χρησιμοποιούν το χρόνο και τις δεξιότητές τους για να...

Το μήνυμα της Zoom προς τους πελάτες της για τα θέματα ασφαλείας

Μετά την πρόσφατη ανακάλυψη των κενών ασφαλείας στην εφαρμογή Zoom, η εταιρεία δημοσίευσε μία επίσημη απάντηση προς...

Cache: Κρυμμένα αρχεία στην προσωρινή μνήμη επιβραδύνουν το Google Chrome

Το Google Chrome ανήκει στην κατηγορία των πιο δημοφιλών browsers και χρησιμοποιείται από μεγάλο ποσοστό χρηστών. Ωστόσο, έχει ένα σημαντικό αρνητικό χαρακτηριστικό...

Πώς να συνδέσω και να ρυθμίσω ακουστικά στο Windows 10 PC;

Τα ακουστικά είναι ένα πολύ χρήσιμο εργαλείο επικοινωνίας, ιδιαίτερα αυτή την περίοδο, που οι περισσότεροι εργαζόμαστε από...

APT Hackers χρησιμοποιούν το Crimson RAT εναντίον Ινδικών τραπεζών

Σύμφωνα με ερευνητές ασφαλείας στον κυβερνοχώρο, μία νέα καμπάνια APT, χρησιμοποιεί το Crimson RAT και επιτίθεται σε...

ProtonMail: Κυκλοφόρησε νέα εφαρμογή για να συνδέεστε τοπικά

ProtonMail - Κυκλοφόρησε νέα εφαρμογή για να συνδέεστε τοπικά: Οι επιθέσεις στο διαδίκτυο αυξάνονται καθημερινά και η...