Bilgi çalmak çok kolay! Kötü amaçlı AutoHotkey komut dosyası uzaktan erişimi etkinleştirir
Trend Micro'nun siber tehdit araştırma ekibi yakın zamanda, tehdit aktörlerinin, tespit edilmekten kaçınmak için kötü amaçlı AutoHotkey komut dosyalarını kullanarak potansiyel kurbanları hedef almaya başladığını keşfetti. Başarılı olduklarında, bilgilerini çalacaklar, daha fazla kötü amaçlı yük dağıtacaklar ve virüslü bilgisayar ekipmanına uzaktan erişmek için TeamViewer yazılımını kullanacaklar.
2003 gibi erken bir tarihte, AutoHotkey (AHK olarak da bilinir), başka bir ücretsiz Windows otomasyon dili olan AutoIt'e klavye kısayolu (kısayol tuşu) desteği eklemek için zaten Windows için açık kaynaklı bir komut dosyası diliydi.
Saldırı yöntemlerine genel bakış
Kötü amaçlı AutoHotkey komut dosyası yükü, Askeri Finansman.xlsm adlı aldatıcı Excel makroları etkinleştirilmiş bir çalışma kitabı e-posta eki yardımıyla dağıtıldı. Saldırı, ABD Savunma Güvenlik İşbirliği Dairesi'nin Yabancı Askeri Finansman (FMF) projesinin uygulanmasının ardından meydana geldi.Tehdit aktörleri, potansiyel hedefleri, dosyanın içeriğini görüntülemek için makro komutlar kullanmaya teşvik etmeyi umuyor.
Trend Micro'nun siber tehdit araştırma ekibi, kurban Microsoft Excel'de makroları etkinleştirdikten sonra XSLM belgesinin "meşru komut dosyası motoru AutoHotkey ve kötü amaçlı komut dosyalarını dağıtacağını" buldu.
Hemen ardından, kötü amaçlı betik çalıştırılacak ve otomatik olarak komuta ve kontrol (C&C) sunucusuna bağlanacaktır.Saldırganın gönderdiği komutlara göre, virüs bulaşan bilgisayar cihazına daha fazla komut dosyası indirilecektir.
Araştırmacı, dağıtılan AutoHotkeyU32.ahk komut dosyasının etkinliğini analiz etti ve aşağıdaki komutları çalıştıracağını buldu:
- AutoHotkeyU32.exe'nin başlangıç klasöründe, sistem yeniden başlatıldıktan sonra bile tutulmaya devam edebilmesini sağlamak için bir bağlantı dosyası oluşturun.
- Komut içeren komut dosyalarını indirmek, kaydetmek ve çalıştırmak için her 10 saniyede bir C&C sunucusuna bağlanın.
- C sürücüsünün seri numarasını göndererek saldırganın kurbanı tanımlamasına izin verin.
Son olarak, araştırmacıların keşfettiği gibi, indirilen kötü amaçlı komut dosyalarından biri de TeamViewer'ın bir kopyasını dağıtarak saldırganın virüslü bilgisayara uzaktan erişmesine izin verecek.
Trend Micro, "Bu kötü amaçlı dosyalar, saldırganların bilgisayar adları elde etmesine ve ekran görüntüsü almasına olanak tanıyor. Daha da önemlisi, dosyalardan biri, tehdit aktörlerinin sistemi uzaktan kontrol etmesine olanak tanıyan bir uzaktan erişim aracı olan TeamViewer'ı da indirebilir," Aranan.
Bu kötü niyetli faaliyetin amacı henüz bilinmemekle birlikte, arkasındaki tehdit aktörleri, özellikle ABD Savunma Güvenlik İşbirliği Ajansı'nın yabancı askeri finansman projeleriyle ilgilenme olasılığının en yüksek olduğu göz önünde bulundurulduğunda, siber casusluk bilgilerini toplamak için kullanabilir. kurban.
Saldırgan, bankacılık Truva atları, madenci kötü amaçlı yazılımları, arka kapılar ve daha tehlikeli fidye yazılımları veya disk silme kötü amaçlı yazılımları dahil olmak üzere diğer olası kötü amaçlı yüklerin algılanmasını önlemek ve dağıtmak için görünüşte zararsız AutoHotkey komut dosyasını kullanır.
AutoHotkey tabanlı kötü amaçlı yazılım serisi 2018'de sel basmaya başladı
2018'in başında, AutoHotkey tabanlı kötü amaçlı yazılım, çeşitli oyun hile araçları (eklentiler) şeklinde görünmeye başladı. Ixia'nın güvenlik araştırma ekibi, bu yılın Şubat ayında, çok sayıda AutoHotkey kötü amaçlı yazılım örneğinin şifreli madenci yazılımı ve pano korsanlığı programları dağıttığını keşfetti.
Bir ay sonra, Cybereason Nocturnus araştırma ekibi, AutoHotkey tabanlı bir kötü amaçlı yazılımla karşılaştı ve Kaspersky anti-virüsünün yasal bir kopyası gibi davranmaya çalıştığı için ona Fauxpersky adını verdiler.
Uzlaşma Göstergeleri (IoC'ler)
Yazar: Gump, http: //www.mottoin.com/detail/3915.html adresinden yeniden üretilmiştir.
