AHK RAT裝載機提供大量的RAT
AutoHotKey(AHK)腳本旨在通過使用預製腳本來幫助用戶自動化某些任務。這些腳本以“ .ahk”文件的形式出現,並使用稱為AutoHotKey的解釋器執行。但是,似乎網絡罪犯已開始濫用此有用功能,以部署和執行惡意軟件。自2021年2月以來,網絡安全專家一直在觀察正在進行的活動,該活動利用惡意的AHK腳本來部署各種遠程訪問特洛伊木馬(RAT)。
犯罪分子濫用的AHK腳本具有一些精美的功能,例如繞過用戶帳戶控制(UAC),禁用Windows Defender,繞過虛擬機等功能。目前尚不清楚最終的AHK文件是如何交付給受害者的,但是該活動的運營商有可能濫用一種以上的傳播策略。例如,他們可能正在將惡意的AHK腳本上傳到合法的存儲庫,從而利用了隨機的受害者。他們還可能通過虛假下載,欺詐性電子郵件附件以及提供AHK解釋程序和惡意腳本本身的其他可疑內容來接近受害者。
AHK RAT裝載程序活動使用的一些RAT系列包括Vjw0rm,WSHRAT,AsyncRAT和LimeRAT。交付方法的特殊之處在於,惡意可執行文件通常帶有多個合法的安裝程序,這可能是放棄防銹工具和安全服務的基本嘗試。除有效載荷外,AHK RAT加載程序還執行專門用於關閉Windows Defender的AHK腳本。最近,類似的裝載機也發布了新聞-Snip3裝載機使大規模RAT攻擊活動更為強大。
儘管網絡犯罪團伙依靠各種方法繞過UAC,Windows Defender和其他簡單的安全措施,但這是濫用AHK腳本的首批活動之一。當前,AHK RAT Loader已被著名的防病毒軟件檢測到,如果您使用最新的防惡意軟件保護它,則可以放心您的系統沒有危險。