Morphisec Labs повідомили про поточну шкідливу кампанію, оператори якої використовують мову скриптів AutoHotkey (AHK) для поширення троянів для віддаленого доступу (RAT), таких як Revenge RAT, LimeRAT, AsyncRAT, Houdini і Vjw0rm.

За словами дослідників, з лютого 2021 року було виявлено як мінімум чотири різні версії кампанії.

“Кампанія з розповсюдження RAT починається зі скрипта, скомпільованого AutoHotKey (AHK). Автономний виконуваний файл містить інтерпретатор AHK, скрипт AHK і будь-які файли, впроваджені за допомогою команди FileInstall. У цій кампанії зловмисники включають шкідливі скрипти і виконувані файли разом з легітимним додатком з метою приховати свої наміри”, – пояснили експерти.

Незалежно від виду кампанії, зараження починається з виконуваного файлу AHK, який завантажує та виконує різні скрипти VBScripts для завантаження RAT на скомпрометований комп’ютер. В одному з варіантів атаки зловмисник зв’язав RAT з виконуваним файлом AHK на додаток для відключення Microsoft Defender шляхом установки пакетного скрипта і файлу ярлика (.LNK), що вказує на цей скрипт.

Була виявлена ​​друга версія шкідливого ПЗ, що блокує підключення до популярних антивірусних рішень шляхом підробки файлу hosts на системі жертви. Третя кампанія включала доставку LimeRAT через VBScript, який потім декодується в команду PowerShell, завантажує корисне навантаження на мові C# із виконуваним файлом заключного етапу з сервісу stikked.ch.

В рамках четвертої кампанії злочинець використовував AHK для виконання легітимного додатки, перш ніж видалити скрипт VBScript, який запускає PowerShell-скрипт в пам’яті для запуску завантажувача шкідливих програм HCrypt і установки AsyncRAT.

Дослідники Morphisec зв’язали всі шкідливі кампанії з одним і тим же зловмисником, пославшись на схожість скрипта AHK і збіг методів, використовуваних для відключення Microsoft Defender.

AutoHotkey це вільний відкритий засіб створення макросів і автоматизації, що дозволяє користувачам автоматизувати повторювані завдання у Microsoft Windows.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.