Az AHK RAT Loader rengeteg RAT-t szállít
Az AutoHotKey (AHK) szkriptek célja, hogy segítsék a felhasználókat bizonyos feladatok automatizálásában előre elkészített szkriptek használatával. Ezek a szkriptek .ahk fájl formájában érkeznek, és az AutoHotKey nevű tolmács segítségével kerülnek végrehajtásra. Úgy tűnik azonban, hogy a kiberbűnözők visszaélni kezdtek ezzel a hasznos funkcióval a rosszindulatú szoftverek telepítése és végrehajtása érdekében. 2021 februárja óta a kiberbiztonsági szakértők egy folyamatban lévő kampányt figyeltek meg, amely rosszindulatú AHK-szkripteket használ a távoli hozzáférésű trójaiak (RAT) széles körének telepítéséhez.
A bűnözők által visszaélt AHK szkriptek olyan divatos funkciókkal rendelkeznek, mint például a felhasználói fiókok felügyeletének (UAC) megkerülése, a Windows Defender letiltása, a virtuális gépek megkerülése és még sok más. Nem világos, hogy a végleges AHK-fájlt hogyan juttatják el az áldozatokhoz, de van esély arra, hogy a kampány lebonyolítói egynél több terjesztési stratégiával élhetnek vissza. Például rosszindulatú AHK-szkripteket tölthetnek fel törvényes adattárakba, ezért véletlenszerű áldozatokat használnak ki. Az is lehetséges, hogy hamis letöltések, csalárd e-mail mellékletek és más árnyékos tartalmak révén keresik fel az áldozatokat, amelyek mind az AHK tolmácsot, mind magát a rosszindulatú szkriptet eljuttatják.
Az AHK RAT Loader kampány által használt RAT családok egy része a Vjw0rm, WSHRAT, AsyncRAT és LimeRAT. A kézbesítési módszer sajátossága, hogy a rosszindulatú futtatható fájlt gyakran több törvényes telepítővel tömörítették - ez valószínűleg alapvető kísérlet a antirustellenes eszközök és biztonsági szolgáltatások elvetésére. A hasznos teherektől eltekintve az AHK RAT Loader AHK parancsfájlokat is végrehajt, amelyek a Windows Defender kikapcsolására szolgálnak. Egy hasonló rakodó szintén nemrégiben hozta hírül - a Snip3 Loader nagyszabású RAT támadási kampányokat biztosít .
Míg a számítógépes bűnözéssel foglalkozó bandák különféle módszerekre támaszkodnak az UAC, a Windows Defender és más egyszerű biztonsági intézkedések megkerülésére, ez az egyik első kampány, amely ezt megtette az AHK-szkriptekkel való visszaéléssel. Az AHK RAT Loader-t jelenleg jó hírű víruskereső szoftver észleli, és biztos lehet benne, hogy rendszerét nem fenyegeti veszély, ha naprakész kártevőirtó szoftverrel védte meg.