AHK RAT Loader fournit une pléthore de RAT
Les scripts AutoHotKey (AHK) sont destinés à aider les utilisateurs à automatiser certaines tâches à l'aide de scripts prédéfinis. Ces scripts se présentent sous la forme d'un fichier '.ahk', et ils sont exécutés à l'aide d'un interpréteur appelé AutoHotKey. Cependant, il semble que les cybercriminels aient commencé à abuser de cette fonctionnalité utile pour déployer et exécuter des logiciels malveillants. Depuis février 2021, les experts en cybersécurité observent une campagne en cours, qui exploite des scripts AHK malveillants pour déployer un large éventail de chevaux de Troie d'accès à distance (RAT).
Les scripts AHK abusés par les criminels sont dotés de fonctionnalités sophistiquées telles que la possibilité de contourner le contrôle de compte d'utilisateur (UAC), de désactiver Windows Defender, de contourner les machines virtuelles, etc. La manière dont le fichier AHK final est livré aux victimes n'est pas claire, mais il est possible que les opérateurs de la campagne abusent de plus d'une stratégie de propagation. Par exemple, ils peuvent télécharger des scripts AHK malveillants vers des référentiels légitimes, exploitant ainsi des victimes aléatoires. Il est également possible qu'ils approchent des victimes via de faux téléchargements, des pièces jointes frauduleuses et d'autres contenus louches qui fournissent à la fois l'interpréteur AHK et le script malveillant lui-même.
Certaines des familles RAT utilisées par la campagne AHK RAT Loader sont Vjw0rm, WSHRAT, AsyncRAT et LimeRAT. Ce qui est particulier à propos de la méthode de livraison, c'est que l'exécutable malveillant était souvent emballé avec plusieurs installateurs légitimes - il s'agit probablement d'une tentative de base pour se débarrasser des outils antirouille et des services de sécurité. Outre les charges utiles, le chargeur AHK RAT exécute également des scripts AHK dédiés à la désactivation de Windows Defender. Un chargeur similaire a également fait l'actualité récemment - Snip3 Loader renforce les campagnes d'attaque RAT à grande échelle .
Alors que les gangs de cybercriminalité s'appuient sur diverses méthodes pour contourner l'UAC, Windows Defender et d'autres mesures de sécurité simples, c'est l'une des premières campagnes à le faire avec l'abus des scripts AHK. L'AHK RAT Loader est actuellement détecté par un logiciel antivirus réputé, et vous pouvez être assuré que votre système n'est pas en danger si vous l'avez protégé par un logiciel anti-malware à jour.