AHK RAT装载机提供大量的RAT
AutoHotKey(AHK)脚本旨在通过使用预制脚本来帮助用户自动化某些任务。这些脚本以“ .ahk”文件的形式出现,并使用称为AutoHotKey的解释器执行。但是,似乎网络罪犯已开始滥用此有用功能,以部署和执行恶意软件。自2021年2月以来,网络安全专家一直在观察正在进行的活动,该活动利用恶意的AHK脚本来部署各种远程访问特洛伊木马(RAT)。
犯罪分子滥用的AHK脚本具有一些精美的功能,例如绕过用户帐户控制(UAC),禁用Windows Defender,绕过虚拟机等功能。目前尚不清楚最终的AHK文件是如何传递给受害者的,但是该活动的运营商有可能滥用一种以上的传播策略。例如,他们可能正在将恶意的AHK脚本上传到合法的存储库,从而利用了随机的受害者。他们还可能通过虚假下载,欺诈性电子邮件附件以及提供AHK解释程序和恶意脚本本身的其他可疑内容来接近受害者。
AHK RAT装载程序活动使用的一些RAT系列包括Vjw0rm,WSHRAT,AsyncRAT和LimeRAT。交付方法的特殊之处在于,恶意可执行文件通常带有多个合法的安装程序,这可能是放弃防锈工具和安全服务的基本尝试。除有效载荷外,AHK RAT加载程序还执行专门用于关闭Windows Defender的AHK脚本。最近,类似的装载机也发布了新闻-Snip3装载机使大规模RAT攻击活动更为强大。
尽管网络犯罪团伙依靠各种方法绕过UAC,Windows Defender和其他简单的安全措施,但这是滥用AHK脚本的首批活动之一。当前,AHK RAT Loader已被著名的防病毒软件检测到,如果您使用最新的防恶意软件保护它,则可以放心您的系统没有危险。