AutoIt се използва при целеви атаки, Threatpost
Преди няколко месеца хакерите отново започнаха активно да използват макроси като вектор за атака, главно за да скрият злонамерен софтуер на банкери, разпространяван чрез спам.
Някои целенасочени атаки са използвали изключително убедителни фишинг имейли за разпространение на троянски коне и друг зловреден софтуер, скрит в документи на Word. Според изследователи от Cisco, заслужава да се отбележи целенасочена кампания, в която AutoIt е използван за разпространение на зловреден софтуер. AutoIt е безплатна помощна програма, която позволява на системните администратори на Windows да пишат скриптове за автоматизиране на определени процеси.
Показване на свързани публикации
Фишърите разпространяват „гаден списък“ в Instagram
Хакери експлоатират уязвимости в приставката за WordPress
XMrig атакува чрез PowerShell скриптове и EternalBlue
Възможността да се използват макроси като вектор за атака беше до голяма степен потисната с пускането на Office 2007, когато използването им беше деактивирано по подразбиране. Експертите на Cisco обаче казват, че фалшифицирането на подателя и грамотността на текста на писмото в много случаи може да принуди жертвата да активира макроси.
Използването на AutoIt е не само уникално по свой начин, но и много ефективна техника, която позволява на нападателите да избегнат откриването. AutoIt е легитимен административен инструмент и често е в белия списък от компании. Като част от тази кампания, жертвата е принудена да активира макроси в документ на Word, за който се предполага, че идва от законна компания. Когато жертвата задейства атаката, макросът се свързва с hxxp://frontlinegulf[.]com/tmp/adobefile.exe и изтегля двоичния файл. Според експерти натоварването често се променя. Един от тях е AutoIt, който може да се изтегли откато саморазархивиращ се архив. В допълнение към самия AutoIt от архива, който има защита срещу анализ, поддържа декриптиране на натоварването, както и механизми за инсталиране на зловреден софтуер и осигуряване на устойчивост, се изтегля и 600 MB AutoIt скрипт. Скриптът инсталира или RAT Cybergate, или RAT NanoCore, или червея Parite.
Според Чиу троянските коне се използват само срещу определени организации. Големият размер на скрипта AutoIt му позволява да заобиколи защитите въз основа на проверка на размера на файла. Експертът каза, че скриптът е в състояние да определи дали в системата е инсталирана антивирусна програма и ако има такава, скриптът се изпълнява с известно забавяне. Той се опитва да деактивира Windows User Access Control (UAC), за да се закрепи в системата и да продължи да дешифрира товара.
„Нападателите използват легитимен безплатен инструмент, за да избегнат откриването“, каза Чиу. „Злонамерената дейност може да бъде скрита под прикритието на административна задача.“ Експертът заяви, че не е известно дали организациите са използвали AutoIt преди да бъдат атакувани.
По отношение на троянските коне, NanoCore беше използван срещу енергийни компании в Азия и Близкия изток по-рано тази година, тъй като изходният код и ексклузивните добавки бяха изтекли в обществеността. Докато Cybergate е достъпен в мрежата от много години и се счита за много лесен за настройка и използване.