AHKRATローダーは多数のRATを提供します
AutoHotKey(AHK)スクリプトは、ユーザーが事前に作成されたスクリプトを使用して特定のタスクを自動化できるようにすることを目的としています。これらのスクリプトは「.ahk」ファイルの形式で提供され、AutoHotKeyと呼ばれるインタープリターを使用して実行されます。ただし、サイバー犯罪者は、悪意のあるソフトウェアを展開して実行するために、この便利な機能を悪用し始めているようです。 2021年2月以降、サイバーセキュリティの専門家は、悪意のあるAHKスクリプトを利用してさまざまなリモートアクセストロイの木馬(RAT)を展開する継続的なキャンペーンを監視しています。
犯罪者によって悪用されたAHKスクリプトには、ユーザーアカウント制御(UAC)をバイパスする機能、Windows Defenderを無効にする機能、仮想マシンをバイパスする機能など、いくつかの優れた機能が付属しています。最終的なAHKファイルが被害者にどのように配信されるかは明確ではありませんが、キャンペーンの運営者が複数の伝播戦略を悪用している可能性があります。たとえば、悪意のあるAHKスクリプトを正当なリポジトリにアップロードしているため、ランダムな被害者を悪用している可能性があります。また、偽のダウンロード、不正な電子メールの添付ファイル、およびAHKインタープリターと悪意のあるスクリプト自体の両方を配信するその他の怪しげなコンテンツを介して被害者に接近している可能性もあります。
AHK RATローダーキャンペーンで使用されているRATファミリーには、Vjw0rm、WSHRAT、AsyncRAT、およびLimeRATがあります。配信方法の特徴は、悪意のある実行可能ファイルに複数の正当なインストーラーが詰め込まれていることが多いことです。これはおそらく、防錆ツールとセキュリティサービスを捨てる基本的な試みです。ペイロードとは別に、AHK RATローダーは、WindowsDefenderをオフにするための専用のAHKスクリプトも実行します。同様のローダーも最近ニュースになりました-Snip3ローダーは大規模なRAT攻撃キャンペーンを強化します。
サイバー犯罪組織は、UAC、Windows Defender、およびその他の単純なセキュリティ対策を回避するためにさまざまな方法に依存していますが、これはAHKスクリプトの悪用を伴う最初のキャンペーンの1つです。 AHK RATローダーは現在、信頼できるウイルス対策ソフトウェアによって検出されています。最新のマルウェア対策ソフトウェアでシステムを保護していれば、システムが危険にさらされることはありませんのでご安心ください。