Experten warnen vor anhaltenden AutoHotkey-basierten Malware-Attacken

Cyber Security News

Cybersecurity-Forscher haben eine laufende Malware-Kampagne aufgedeckt, die sich stark auf die Skriptsprache AutoHotkey (AHK) stützt, um mehrere Remote-Access-Trojaner (RAT) wie Revenge RAT, LimeRAT, AsyncRAT, Houdini und Vjw0rm auf Windows-Zielsysteme zu bringen.

Laut den Forschern von Morphisec Labs wurden mindestens vier verschiedene Versionen der Kampagne ab Februar 2021 gesichtet.

“Die RAT-Auslieferungskampagne beginnt mit einem kompilierten AutoHotKey (AHK)-Skript”, so die Forscher. “Dies ist eine eigenständige ausführbare Datei, die Folgendes enthält: den AHK-Interpreter, das AHK-Skript und alle Dateien, die es über den Befehl FileInstall eingebunden hat. Bei dieser Kampagne binden die Angreifer bösartige Skripte/ausführbare Dateien neben einer legitimen Anwendung ein, um ihre Absichten zu verschleiern.”

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

AutoHotkey ist eine quelloffene, benutzerdefinierte Skriptsprache für Microsoft Windows, die einfache Hotkeys für die Makroerstellung und Software-Automatisierung bereitstellen soll und es dem Benutzer ermöglicht, sich wiederholende Aufgaben in jeder Windows-Anwendung zu automatisieren.

Unabhängig von der Angriffskette beginnt die Infektion mit einer ausführbaren AHK-Datei, die im weiteren Verlauf verschiedene VBScripts ablegt und ausführt, die schließlich das RAT auf dem angegriffenen Rechner laden. In einer Variante des Angriffs, die erstmals am 31. März entdeckt wurde, kapselte der Angreifer hinter der Kampagne das abgelegte RAT mit einer ausführbaren AHK-Datei ein und deaktivierte zusätzlich den Microsoft Defender, indem er ein Batch-Skript und eine Verknüpfungsdatei (.LNK) bereitstellte, die auf dieses Skript verweist.

Eine zweite Version der Malware blockierte Verbindungen zu gängigen Antiviren-Lösungen, indem sie die Hosts-Datei des Opfers manipulierte. “Diese Manipulation verweigert die DNS-Auflösung für diese Domänen, indem sie die localhost-IP-Adresse statt der echten auflöst”, erklärten die Forscher.

[Blocked Image: https://thehackernews.com/images/-BX3YZIf4-Lk/YKJO2-M7piI/AAAAAAAACjM/Dr9yN4m0ddsBk7hLLhKOjW6H8E62b0DewCLcBGAsYHQ/s0/hacking.jpg]

In ähnlicher Weise wurde am 26. April eine weitere Loader-Kette beobachtet, bei der das LimeRAT über ein verschleiertes VBScript ausgeliefert wird, das dann in einen PowerShell-Befehl entschlüsselt wird, der eine C#-Nutzlast mit der ausführbaren Datei der letzten Stufe von einem Pastebin-ähnlichen Sharing-Plattform-Dienst namens “stikked.ch” abruft.

Eine vierte Angriffskette schließlich, die am 21. April entdeckt wurde, verwendet ein AHK-Skript, um eine legitime Anwendung auszuführen, bevor sie ein VBSkript ablegt, das ein speicherinternes PowerShell-Skript ausführt, um den HCrypt-Malware-Loader zu holen und AsyncRAT zu installieren.

Die Forscher von Morphisec führten alle verschiedenen Angriffsketten auf denselben Bedrohungsakteur zurück und beriefen sich dabei auf Ähnlichkeiten im AHK-Skript und Überschneidungen bei den Techniken, die zur Deaktivierung von Microsoft Defender verwendet wurden.

“Während Bedrohungsakteure grundlegende Sicherheitskontrollen wie Emulatoren, Antivirus und UAC studieren, entwickeln sie Techniken, um diese zu umgehen und zu umgehen”, so die Forscher. “Die in diesem Bericht beschriebenen Änderungen der Techniken hatten keinen Einfluss auf die Auswirkungen dieser Kampagnen. Die taktischen Ziele blieben die gleichen. Vielmehr zielten die Technikänderungen auf die Umgehung passiver Sicherheitskontrollen ab. Ein gemeinsamer Nenner dieser Umgehungstechniken ist der Missbrauch des Prozessspeichers, da dieser typischerweise ein statisches und vorhersehbares Ziel für den Angreifer darstellt.”

Dies ist nicht das erste Mal, dass Angreifer AutoHotkey zum Ablegen von Malware missbrauchen. Im Dezember 2020 entdeckten Forscher von Trend Micro einen in der Skriptsprache AutoHotkey geschriebenen Credential Stealer, der es auf Finanzinstitute in den USA und Kanada abgesehen hatte.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com