Pakar Memperingatkan Tentang Serangan Malware Berbasis AutoHotkey yang Sedang Berlangsung

  • Whatsapp
Pakar Memperingatkan Tentang Serangan Malware Berbasis AutoHotkey yang Sedang Berlangsung

Peneliti keamanan siber telah menemukan kampanye malware yang sedang berlangsung yang sangat bergantung pada bahasa skrip AutoHotkey (AHK) untuk mengirimkan beberapa trojan akses jarak jauh (RAT) seperti Revenge RAT, LimeRAT, AsyncRAT, Houdini, dan Vjw0rm pada sistem Windows target.

Setidaknya empat versi kampanye yang berbeda telah terlihat mulai Februari 2021, menurut para peneliti dari Morphisec Labs.

Bacaan Lainnya

“Kampanye pengiriman RAT dimulai dari skrip yang dikompilasi AutoHotKey (AHK),” para peneliti dicatat. “Ini adalah executable mandiri yang berisi berikut: penerjemah AHK, skrip AHK, dan file apa pun yang telah dimasukkan melalui Instalasi File File perintah. Dalam kampanye ini, penyerang memasukkan skrip/executable berbahaya di samping aplikasi yang sah untuk menyamarkan niat mereka.”

auditor kata sandi

AutoHotkey adalah bahasa skrip kustom open-source untuk Microsoft Windows yang dimaksudkan untuk menyediakan hotkeys mudah untuk pembuatan makro dan otomatisasi perangkat lunak, memungkinkan pengguna untuk mengotomatiskan tugas berulang di aplikasi Windows apa pun.

Terlepas dari rantai serangan, infeksi dimulai dengan executable AHK yang melanjutkan untuk menjatuhkan dan mengeksekusi VBScript berbeda yang akhirnya memuat RAT pada mesin yang disusupi. Dalam satu varian serangan yang pertama kali terdeteksi pada tanggal 31 Maret, musuh di balik kampanye tersebut merangkum RAT yang dijatuhkan dengan executable AHK, selain menonaktifkan Microsoft Defender dengan menerapkan skrip Batch dan file pintasan (.LNK) yang menunjuk ke skrip tersebut.

Versi kedua dari malware ditemukan untuk memblokir koneksi ke solusi antivirus populer dengan merusak . korban file host. “Manipulasi ini menyangkal resolusi DNS untuk domain tersebut dengan menyelesaikan alamat IP localhost alih-alih yang asli,” para peneliti menjelaskan.

Dalam nada yang sama, rantai pemuat lain yang diamati pada 26 April melibatkan pengiriman LimeRAT melalui VBScript yang dikaburkan, yang kemudian diterjemahkan menjadi perintah PowerShell yang mengambil muatan C# yang berisi tahap akhir yang dapat dieksekusi dari layanan platform berbagi seperti Pastebin yang disebut ” stikked.ch.”

Terakhir, rantai serangan keempat yang ditemukan pada 21 April menggunakan skrip AHK untuk menjalankan aplikasi yang sah, sebelum menjatuhkan VBScript yang menjalankan skrip PowerShell dalam memori untuk mengambil pemuat malware HCrypt dan menginstal AsyncRAT.

Peneliti Morphisec mengaitkan semua rantai serangan yang berbeda dengan pelaku ancaman yang sama, dengan mengutip kesamaan dalam skrip AHK dan tumpang tindih dalam teknik yang digunakan untuk menonaktifkan Microsoft Defender.

“Saat aktor ancaman mempelajari kontrol keamanan dasar seperti emulator, antivirus, dan UAC, mereka mengembangkan teknik untuk melewati dan menghindarinya,” kata para peneliti. “Perubahan teknik yang dirinci dalam laporan ini tidak memengaruhi dampak kampanye ini. Tujuan taktis tetap sama. Sebaliknya, perubahan teknik adalah untuk melewati kontrol keamanan pasif. Penyebut umum di antara teknik mengelak ini adalah penyalahgunaan memori proses karena itu biasanya merupakan target statis dan dapat diprediksi untuk musuh.”

Ini bukan pertama kalinya musuh menyalahgunakan AutoHotkey untuk menjatuhkan malware. Pada bulan Desember 2020, peneliti Trend Micro menemukan pencuri kredensial yang ditulis dalam bahasa skrip AutoHotkey yang memilih lembaga keuangan di AS dan Kanada.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *