AHK RAT Loader leverer en mengde RAT
AutoHotKey (AHK) -skript er ment å hjelpe brukerne med å automatisere bestemte oppgaver ved bruk av forhåndsdefinerte skript. Disse skriptene kommer i form av en '.ahk' fil, og de utføres med bruk av en tolk som heter AutoHotKey. Imidlertid ser det ut til at nettkriminelle har begynt å misbruke denne nyttige funksjonen for å distribuere og utføre skadelig programvare. Siden februar 2021 har cybersikkerhetseksperter observert en pågående kampanje som utnytter ondsinnede AHK-skript for å distribuere et bredt spekter av Remote Access Trojans (RAT).
AHK-skriptene misbrukt av kriminelle kommer med noen fancy funksjoner som muligheten til å omgå brukerkontokontroll (UAC,) deaktivere Windows Defender, omgå virtuelle maskiner og mer. Det er ikke klart hvordan den endelige AHK-filen blir levert til ofrene, men det er en sjanse for at operatørene av kampanjen misbruker mer enn én formeringsstrategi. For eksempel kan de laste opp ondsinnede AHK-skript til legitime arkiver, og dermed utnytte tilfeldige ofre. Det er også mulig at de nærmer seg ofrene via falske nedlastinger, falske e-postvedlegg og annet lyssky innhold som leverer både AHK-tolken og selve det ondsinnede skriptet.
Noen av RAT-familiene som AHK RAT Loader-kampanjen har brukt, er Vjw0rm, WSHRAT, AsyncRAT og LimeRAT. Det som er særegent ved leveringsmetoden er at den ondsinnede kjørbare filen ofte var fullpakket med flere legitime installatører - dette er sannsynligvis et grunnleggende forsøk på å kaste av antirustverktøy og sikkerhetstjenester. Bortsett fra nyttelastene, utfører AHK RAT Loader også AHK-skript som er dedikert til å slå av Windows Defender. En lignende laster gjorde også nyheten nylig - Snip3 Loader gir store RAT-angrepskampanjer .
Mens nettkriminalitetsgjengene er avhengige av forskjellige metoder for å omgå UAC, Windows Defender og andre enkle sikkerhetstiltak, er dette en av de første kampanjene som gjør det med misbruk av AHK-skript. AHK RAT Loader blir for øyeblikket oppdaget av anerkjent antivirusprogramvare, og du kan være trygg på at systemet ditt ikke er i fare hvis du har beskyttet det med oppdatert antiprogramvare.