Скрипти AutoHotkey використовуються для крадіжки даних і віддаленого доступу

12:58
Скрипти AutoHotkey використовуються для крадіжки даних і віддаленого доступу

    Зловмисники використовують скрипт AutoHotkey для крадіжки інформації та обходу засобів захисту, встановлених на комп'ютері жертви. Крім цього, цей же скрипт дозволяє злочинцям встановлювати додаткові шкідливі елементи, а також підключатися до скомпрометованих машин через TeamViewer. Нагадаємо, що AutoHotkey (також AHK) являє собою скриптову мову з відкритим вихідним кодом, який був створений для Windows в далекому 2003 році. AHK використовується для підтримки так званих «гарячих клавіш» в AutoIt. Шкідливий скрипт AutoHotkey поширюється за допомогою вкладення Excel Workbook, в якому активовані макроси. Файл (Military Financing.xlsm), який використовують зловмисники, посилається на програму Агентства зі співпраці в області безпеки і оборони, що є частиною Міністерства оборони США.  За словами експертів компанії Trend Micro, після активації макросів документ XSLM встановить в систему AutoHotkey, а також додатково скопіює файл зі шкідливим скриптом. В результаті ланцюжок атаки буде являти собою наступне:

Відразу ж після виконання зловмисного скрипта в системі він намагається зв'язатися з контрольним сервером C & C, щоб завантажити додаткові скрипти собі в допомогу. Ім'я шкідливого файлу першої стадії атаки — AutoHotkeyU32.ahk. «Завантажені на комп'ютер зловмисні файли можуть отримати ім'я комп'ютера, а також зняти скріншоти. Що важливіше — вони можуть завантажити інструмент для віддаленого адміністрування TeamViewer », — йдеться в звіті Trend Micro.

На даний момент конкретні цілі цієї шкідливої кампанії визначити не вдалося.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.