AHK RAT装载机提供大量的RAT

AutoHotKey（AHK）脚本旨在通过使用预制脚本来帮助用户自动化某些任务。这些脚本以“ .ahk”文件的形式出现，并使用称为AutoHotKey的解释器执行。但是，似乎网络罪犯已开始滥用此有用功能，以部署和执行恶意软件。自2021年2月以来，网络安全专家一直在观察正在进行的活动，该活动利用恶意的AHK脚本来部署各种远程访问特洛伊木马（RAT）。

犯罪分子滥用的AHK脚本具有一些精美的功能，例如绕过用户帐户控制（UAC），禁用Windows Defender，绕过虚拟机等功能。目前尚不清楚最终的AHK文件是如何传递给受害者的，但是该活动的运营商有可能滥用一种以上的传播策略。例如，他们可能正在将恶意的AHK脚本上传到合法的存储库，从而利用了随机的受害者。他们还可能通过虚假下载，欺诈性电子邮件附件以及提供AHK解释程序和恶意脚本本身的其他可疑内容来接近受害者。

AHK RAT装载程序活动使用的一些RAT系列包括Vjw0rm，WSHRAT，AsyncRAT和LimeRAT。交付方法的特殊之处在于，恶意可执行文件通常带有多个合法的安装程序，这可能是放弃防锈工具和安全服务的基本尝试。除有效载荷外，AHK RAT加载程序还执行专门用于关闭Windows Defender的AHK脚本。最近，类似的装载机也发布了新闻-Snip3装载机使大规模RAT攻击活动更为强大。

尽管网络犯罪团伙依靠各种方法绕过UAC，Windows Defender和其他简单的安全措施，但这是滥用AHK脚本的首批活动之一。当前，AHK RAT Loader已被著名的防病毒软件检测到，如果您使用最新的防恶意软件保护它，则可以放心您的系统没有危险。