Skrypty AutoIt coraz częściej używane przez twórców złośliwego oprogramowania

AutoIt, język skryptowy do automatyzacji interakcji z interfejsem Windows, jest coraz częściej wykorzystywany przez twórców złośliwego oprogramowania dzięki swojej elastyczności i niskiej krzywej uczenia się, zgodnie z badaczami bezpieczeństwa z Trendu Micro and Bitdefender.

"Niedawno zauważyliśmy wzrost ilości nikczemnego kodu narzędzi AutoIt przesłanego do Pastebin", powiedział w blogu Kyle Wilhoit, badacz zagrożeń w firmie Trend Micro, producent rozwiązań antywirusowych. "Jednym z powszechnie znanych narzędzi jest na przykład keylogger. Chwytając ten kod, każdy, kto ma złe intencje, może szybko skompilować i uruchomić go w ciągu kilku sekund. "

" Oprócz narzędzi znalezionych na stronach takich jak Pastebin i Pastie, widzimy również ogromny wzrost ilości złośliwego oprogramowania używając AutoIt jako języka skryptowego, "powiedział Wilhoit.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Korzystanie z AutoIt w rozwoju szkodliwego oprogramowania stale rośnie od 2008 roku, Bogdan Botezatu, starszy e- analityk zagrożeń na dostawcę oprogramowania antywirusowego Bitdefender powiedział we wtorek za pośrednictwem poczty elektronicznej. Liczba próbek złośliwego oprogramowania zakodowanych w AutoIt ostatnio osiągnęła najwyższy poziom ponad 20 000 miesięcznie, powiedział.

"W początkowych latach oprogramowanie AutoIt było najczęściej używane do oszustw reklamowych lub do tworzenia mechanizmów samopopularyzowania wiadomości błyskawicznych [komunikatory] robaki - powiedział Botezatu. "Obecnie złośliwe oprogramowanie AutoIt obejmuje zarówno aplikacje typu ransomware, jak i aplikacje zdalnego dostępu."

Jednym z najbardziej wyrafinowanych odkrytych niedawno złośliwych programów opartych na AutoIt była wersja DarkComet RAT (program trojański do zdalnego dostępu), powiedział Wilhoit. To złośliwe oprogramowanie otwiera backdoora na komputerze ofiary, komunikuje się ze zdalnym serwerem kontroli i sterowania i modyfikuje zasady zapory ogniowej systemu Windows, powiedział.

DarkComet RAT był używany w atakach ukierunkowanych, w stylu APT w przeszłości, w tym przez rząd syryjski, aby szpiegować działaczy politycznych w tym kraju. Co ciekawe, w wariancie znalezionym przez Trend Micro jest napisane, że jest napisane w AutoIt i ma bardzo niski wskaźnik wykrywalności antywirusowej.

Używanie języków skryptowych do tworzenia zaawansowanego złośliwego oprogramowania nie jest powszechną praktyką, ponieważ większość tych języków wymaga interpretera. do zainstalowania na maszynie lub do produkcji bardzo dużych autonomicznych plików wykonywalnych, powiedział Botezatu.

Były jednak wyjątki. Na przykład, złośliwe oprogramowanie wykorzystujące język Flame wykorzystało język skryptowy LUA do automatyzacji niektórych zadań bez wykrycia przez produkty antywirusowe, powiedział Botezatu.

AutoIt jest niezwykle intuicyjny i łatwy w użyciu, produkuje skompilowane pliki binarne, które kończą się w pudełku w nowoczesnym systemie Windows wersje są dobrze udokumentowane, powiedział badacz Bitdefender. Ponadto, jest już dużo złośliwego kodu AutoIt dostępnego w sieci do ponownego wykorzystania, powiedział.

"Co najważniejsze, złośliwe oprogramowanie stworzone w AutoIt jest niezwykle elastyczne i może być łatwo zaciemnione, co oznacza, że ​​jeden rodzaj złośliwego oprogramowania jest napisany. w AutoIt można przepakowywać i przerabiać na wiele sposobów, aby zapobiec wykryciu i przedłużyć jego okres przydatności do użycia ", powiedział Botezatu.

Ponieważ języki skryptowe, takie jak AutoIt, nadal zyskują popularność, więcej programistów szkodliwego oprogramowania ma migrować w ich kierunku, Wilhoit powiedział. "Łatwość użycia i uczenia się, a także możliwość łatwego wysyłania kodu do popularnych dropytów sprawiają, że jest to świetna okazja dla aktorów o nikczemnych zamiarach do propagowania swoich narzędzi i złośliwego oprogramowania."