AHK RAT裝載機提供大量的RAT

AutoHotKey（AHK）腳本旨在通過使用預製腳本來幫助用戶自動化某些任務。這些腳本以“ .ahk”文件的形式出現，並使用稱為AutoHotKey的解釋器執行。但是，似乎網絡罪犯已開始濫用此有用功能，以部署和執行惡意軟件。自2021年2月以來，網絡安全專家一直在觀察正在進行的活動，該活動利用惡意的AHK腳本來部署各種遠程訪問特洛伊木馬（RAT）。

犯罪分子濫用的AHK腳本具有一些精美的功能，例如繞過用戶帳戶控制（UAC），禁用Windows Defender，繞過虛擬機等功能。目前尚不清楚最終的AHK文件是如何交付給受害者的，但是該活動的運營商有可能濫用一種以上的傳播策略。例如，他們可能正在將惡意的AHK腳本上傳到合法的存儲庫，從而利用了隨機的受害者。他們還可能通過虛假下載，欺詐性電子郵件附件以及提供AHK解釋程序和惡意腳本本身的其他可疑內容來接近受害者。

AHK RAT裝載程序活動使用的一些RAT系列包括Vjw0rm，WSHRAT，AsyncRAT和LimeRAT。交付方法的特殊之處在於，惡意可執行文件通常帶有多個合法的安裝程序，這可能是放棄防銹工具和安全服務的基本嘗試。除有效載荷外，AHK RAT加載程序還執行專門用於關閉Windows Defender的AHK腳本。最近，類似的裝載機也發布了新聞-Snip3裝載機使大規模RAT攻擊活動更為強大。

儘管網絡犯罪團伙依靠各種方法繞過UAC，Windows Defender和其他簡單的安全措施，但這是濫用AHK腳本的首批活動之一。當前，AHK RAT Loader已被著名的防病毒軟件檢測到，如果您使用最新的防惡意軟件保護它，則可以放心您的系統沒有危險。