Погрузчик AHK RAT поставляет множество крыс

Скрипты AutoHotKey (AHK) предназначены для того, чтобы помочь пользователям автоматизировать определенные задачи с использованием готовых скриптов. Эти сценарии представлены в виде файла .ahk и выполняются с использованием интерпретатора AutoHotKey. Однако похоже, что киберпреступники начали злоупотреблять этой полезной функцией для развертывания и запуска вредоносного программного обеспечения. С февраля 2021 года эксперты по кибербезопасности наблюдают за продолжающейся кампанией, в которой используются вредоносные скрипты AHK для развертывания широкого спектра троянов удаленного доступа (RAT).

Сценарии AHK, которыми злоупотребляют злоумышленники, обладают некоторыми необычными функциями, такими как возможность обхода контроля учетных записей пользователей (UAC), отключение Защитника Windows, обход виртуальных машин и многое другое. Неясно, как окончательный файл AHK доставляется жертвам, но есть вероятность, что операторы кампании могут злоупотреблять более чем одной стратегией распространения. Например, они могут загружать вредоносные сценарии AHK в легитимные репозитории, тем самым используя случайных жертв. Также возможно, что они могут приближаться к жертвам с помощью поддельных загрузок, мошеннических вложений электронной почты и другого сомнительного контента, который доставляет как интерпретатор AHK, так и сам вредоносный скрипт.

Некоторые из семейств RAT, которые использует кампания AHK RAT Loader, - это Vjw0rm, WSHRAT, AsyncRAT и LimeRAT. Что характерно в методе доставки, так это то, что вредоносный исполняемый файл часто был упакован несколькими законными установщиками - вероятно, это простая попытка отбросить антикоррозионные инструменты и службы безопасности. Помимо полезных нагрузок, AHK RAT Loader также выполняет сценарии AHK, предназначенные для отключения Защитника Windows. Недавно в новостях появился аналогичный загрузчик - Snip3 Loader Empowers Large-scale RAT Attack Campaigns .

Хотя киберпреступные банды полагаются на различные методы обхода UAC, Защитника Windows и других простых мер безопасности, это одна из первых кампаний, в которых используется злоупотребление скриптами AHK. Загрузчик AHK RAT в настоящее время обнаруживается авторитетным антивирусным программным обеспечением, и вы можете быть уверены, что ваша система не подвергается опасности, если вы защитили ее с помощью новейшего антивирусного программного обеспечения.