Эксперты вышли на интересные атаки с использованием AutoHotkey

Эксперты вышли на интересные атаки с использованием AutoHotkey

Исследователи в области кибербезопасности из компании Morphisec Labs вышли на вредоносную кампанию, в которой киберпреступники используют AutoHotkey (AHK), язык программирования скриптов. С его помощью операторы устанавливают в системы жертв трояны для удалённого доступа (RAT).

AutoHotkey помогает злоумышленникам атаковать пользователей вредоносными программами Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm. Само собой, под прицелом находится операционная система Windows.

«Всё начинается со скрипта AutoHotKey. Он представляет собой независимый исполняемый файл, содержащий AHK-интерпретатор, сам скрипт и другие файлы», — объясняют специалисты Morphisec Labs.

Первая подобная атака попалась исследователям на глаза 31 марта. Она отличилась тем, что злоумышленники поместили конечный троян в исполняемый файл, скомпилированный AHK. Чтобы обойти встроенный антивирус Microsoft Defender, атакующие задействовали Batch-скрипт и ярлык (.LNK), ссылающийся на вредоносный скрипт.

Ещё одна версия зловреда блокировала заражённому пользователю доступ на антивирусные сайты, для чего использовался старый трюк — модификация файла HOSTS.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky фиксирует рост числа целевых атак во втором квартале 2021 года

Специалисты «Лаборатории Касперского» сообщили об увеличении числа целевых атак (APT), в которых используются серверы Microsoft Exchange. Такая тенденция, по словам исследователей, наблюдалась во втором квартале 2021 года.

Эксплойты для дыр в Microsoft Exchange использует неизвестная киберпреступная группировка, участники которой говорят, скорее всего, на китайском языке. «Лаборатория Касперского» называет эту шпионскую операцию GhostEmperor.

Злоумышленники выбрали себе в качестве целей государственные учреждения, телекоммуникационные компании и другие крупные организации, находящиеся в Юго-Восточной Азии.

В арсенале группы есть множество инструментов для сложных таргетированных кибератак. Эксперты «Лаборатории Касперского» считают, что группировка действует как минимум год — с июля 2020 года.

GhostEmperor отличается тем, что злоумышленники используют новый руткит, запускающийся и работающий с высокими правами в системе. Как отметили специалисты, руткит обходит проверку подписи драйверов Windows Driver Signature Enforcement с помощью схемы загрузки с софтом Cheat Engine.

Как можно понять из названия, Cheat Engine — программа с открытым исходным кодом, анализирующая игры и создающая чит-коды.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru