AutoIt-scripting anvendes i stigende grad af malware-udviklere

AutoIt, et scriptningssprog til automatisering af Windows-interfaceinteraktioner, bliver i stigende grad brugt af malwareudviklere takket være sin fleksibilitet og lave læringskurve, ifølge sikkerhedsforskere fra Trend Micro og Bitdefender.

"For nylig har vi set en uptick i mængden af ​​falsk AutoIt-værktøjskode, der uploades til Pastebin," siger Kyle Wilhoit, en trusselforsker hos antivirusleverandøren Trend Micro, mandag i et blogindlæg. "Et almindeligt set værktøj, for eksempel, er en keylogger. Gribning af denne kode kan enhver med dårlige intentioner hurtigt kompilere og køre det om et par sekunder. "

" Ud over at værktøjer findes på websteder som Pastebin og Pastie, ses vi også en enorm stigning i mængden af ​​malware

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Brugen af ​​AutoIt i malwareudvikling er støt steget siden 2008, Bogdan Botezatu, en senior e- trusselanalytiker hos antivirusleverandøren Bitdefender sagde tirsdag via email. Antallet af malware-prøver, der er kodet i AutoIt, har for nylig nået mere end 20.000 pr. Måned, sagde han.

"I starten var AutoIt-malware hovedsagelig brugt til at reklamere for bedrageri eller til at oprette selvforplantningsmekanismer til IM [instant messaging] orme, "sagde Botezatu. "I dag er AutoIt-malware spændende fra ransomware til fjernadgangsprogrammer."

Et særligt sofistikeret stykke AutoIt-baseret malware, der blev opdaget for nylig, var en version af DarkComet RAT (fjernadgangsprogrammet Trojan), siger Wilhoit. Denne malware åbner en bagdør på offerets maskine, kommunikerer med en fjernkommando- og kontrolserver og ændrer Windows-firewall-politikker, sagde han.

DarkComet RAT er blevet brugt i målrettede APT-stilangreb i fortiden, herunder ved den syriske regering til at spionere på politiske aktivister i landet. Hvad der er interessant om den variant, der er fundet af Trend Micro, er, at den er skrevet i AutoIt og har en meget lav antivirus detektionshastighed.

Brugen af ​​skriptsprog til at udvikle sofistikeret malware er ikke en udbredt praksis, fordi de fleste af disse sprog kræver en tolk at blive installeret på maskinen eller producere meget store enkeltstående eksekverbare filer, sagde Botezatu.

Der har dog været undtagelser. For eksempel brugte flame cyberespionage malware LUA scripting sprog til at automatisere nogle opgaver uden at blive detekteret af antivirusprodukter, siger Botezatu.

AutoIt er ekstremt intuitiv og nem at bruge, producerer kompilerede binære filer, der løber tør for kassen på moderne Windows versioner og er veldokumenteret, sagde Bitdefender forskeren. Der er også allerede meget skadelig AutoIt-kode tilgængelig på internettet til genanvendelse, sagde han.

"Vigtigst er, at malware, der er oprettet i AutoIt, er ekstremt fleksibel og let kan forvirres, hvilket betyder at en enkelt race malware skrevet i AutoIt kan ompakket og genoprettes på en række måder for at forhindre detektion og forlænge holdbarheden ", siger Botezatu.

Som script-sprog som AutoIt fortsætter med at vinde popularitet, forventes flere malware-udviklere at overføre dem, Wilhoit sagde. "Brugervenlighed og læring samt evnen til at post kode nemt til populære dropsites gør dette til en fantastisk mulighed for skuespillere med skræmmende hensigter at udbrede deres værktøjer og malware."