专家警告正在进行的基于自动热键的恶意软件攻击

网络安全研究人员发现了一个正在进行的恶意软件活动，该活动严重依赖自动热键（AHK）脚本语言在目标Windows系统上传输多个远程访问特洛伊木马（RAT），如复仇鼠、LimeRAT、AsyncRAT、Houdini和Vjw0rm。

根据MalimeCIES实验室的研究人员，从2021年2月开始，至少有四个不同版本的运动被发现。

研究人员指出：“老鼠传递活动从自动热键（AHK）编译脚本开始。”。“这是一个独立的可执行文件，包含以下内容：AHK解释器、AHK脚本以及它通过FileInstall命令合并的任何文件。在这次活动中，攻击者将恶意脚本/可执行文件与合法应用程序合并，以掩饰其意图。”

AutoHotkey是一种针对Microsoft Windows的开源自定义脚本语言，旨在为宏创建和软件自动化提供简单的热键，使用户能够在任何Windows应用程序中自动执行重复任务。

不管攻击链是什么，感染都是从一个AHK可执行文件开始的，该文件继续删除并执行不同的VBScript，最终将RAT加载到受损的机器上。在3月31日首次检测到的攻击的一种变体中，战役背后的对手用一个AHK可执行文件封装掉的RAT，并通过部署批处理脚本和指向该脚本的快捷方式（.LNK）文件禁用Microsoft Defender。

第二个版本的恶意软件被发现通过篡改受害者的主机文件来阻止与流行防病毒解决方案的连接。研究人员解释说：“这种操作通过解析本地主机IP地址而不是真实IP地址来拒绝这些域的DNS解析。”。

类似地，4月26日观察到的另一个装载链涉及通过一个模糊的VBScript交付LimeRAT，然后将其解码为一个PowerShell命令，从一个名为“stikked.ch”的类似Pastebin的共享平台服务中检索包含最终阶段可执行文件的C#payload

最后，4月21日发现的第四个攻击链使用AHK脚本执行合法应用程序，然后删除运行内存中PowerShell脚本的VBScript，以获取HCrypt恶意软件加载程序并安装AsyncRAT。

Morphisec研究人员将所有不同的攻击链归因于同一个威胁参与者，并引用了AHK脚本中的相似之处以及用于禁用Microsoft Defender的技术中的重叠。

研究人员说：“当威胁参与者研究仿真器、杀毒软件和UAC等基线安全控制时，他们开发了绕过和规避它们的技术。”。“本报告中详细介绍的技术更改并未影响这些战役的影响。战术目标保持不变。相反，技术更改是为了绕过被动安全控制。这些规避技术中的一个共同点是滥用进程内存，因为它通常是一个静态且可预测的目标。”对手"

这不是对手第一次滥用自动热键删除恶意软件。2020年12月，Trend Micro的研究人员发现了一个用自动热键脚本语言编写的凭证窃取程序，该程序专门针对美国和加拿大的金融机构。