AutoHotkey 是免费的,Windows热键脚本语言在平台下开放源代码。
研究人员发现黑客在传播一种用途AutoHotkey (AHK)脚本语言编写的新证书窃取器是自2020年初以来持续活动的一部分。
美国和加拿大的金融机构客户是攻击的主要目标,尤其是丰业银行、加拿大皇家银行、汇丰银行等银行Alterna宏利人寿和银行、第一资本银行EQ银行的目的是窃取用户的银行卡号码和密码,包括一家印度银行:印度工业信贷投资银行。
AutoHotkey是一种面向Microsoft Windows的开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows自动化重复任务的应用程序。
多阶段感染链开始嵌入Visual Basic for Applications (VBA) AutoOpen有恶意软件的宏Excel该文件随后用于合法移植AHK脚本编译器可以执行文件(“adb.exe”)删除并执行下载程序(“adb.ahk”)。
下载程序客户端脚本还负责实现持久性,分析受害者,并从位于美国、荷兰和瑞典的命令与控制(C&C)额外的服务器下载和运行AHK脚本。
这个恶意软件的区别在于它不是直接从C&C下载并执行服务器接收命令AHK脚本完成不同的任务。
趋势科技研究人员在一份分析报告中表示:
“通过这样做,攻击者可以决定上传特定的脚本,为每个用户或用户组实现定制任务。这也防止了主要部件的披露,特别是其他研究人员或沙箱。”
最重要的是一个证书盗窃程序,目标是各种浏览器,如谷歌Chrome,Opera,Microsoft Edge等待。安装完成后,攻击者还将尝试下载感染的计算机SQLite模块(“sqlite3.dll”),在浏览器的应用程序文件夹中使用该模块SQLite数据库执行SQL查询。
在最后一步,攻击者从浏览器中收集并解密凭证HTTP POST请求以纯文本的形式扩展信息C&C服务器。
研究人员注意到恶意软件组件“代码级井井有条”,建议使用说明(俄语写作)可能意味着攻击链创建背后“雇用黑客”组织并为他人提供服务。
研究人员总结道:
“在受害者的操作系统中使用缺乏内置编译器的脚本语言,加载恶意组件来完成各种任务,并频繁更改C&C攻击者已经能够在沙箱里隐藏他们的攻击意图。”
本文翻译自:https://thehackernews.com/2020/12/autohotkey-based-password-stealer.html若转载,请注明原文地址。