[[373487]]

AutoHotkey 是一款免費(fèi)的、Windows平臺(tái)下開放源代碼的熱鍵腳本語言。

研究人員發(fā)現(xiàn)黑客正在傳播一種用AutoHotkey (AHK)腳本語言編寫的新證書竊取器，這是自2020年初開始的一項(xiàng)持續(xù)活動(dòng)的一部分。

美國(guó)和加拿大的金融機(jī)構(gòu)客戶是此次攻擊的主要目標(biāo)，特別是針對(duì)銀行，如豐業(yè)銀行、加拿大皇家銀行、匯豐銀行、Alterna銀行、第一資本銀行、宏利人壽和EQ銀行，目的就是竊取用戶的銀行卡號(hào)和密碼，另外還包括一家印度銀行：印度工業(yè)信貸投資銀行。

AutoHotkey是一種面向Microsoft Windows的開源自定義腳本語言，旨在為宏創(chuàng)建和軟件自動(dòng)化提供簡(jiǎn)單的熱鍵，允許用戶在任何Windows應(yīng)用程序中自動(dòng)化重復(fù)的任務(wù)。

多階段感染鏈開始于一個(gè)嵌入了Visual Basic for Applications (VBA) AutoOpen宏的帶有惡意軟件的Excel文件，該文件隨后被用來通過合法的可移植AHK腳本編譯器可執(zhí)行文件(“adb.exe”)刪除和執(zhí)行下載程序客戶端腳本(“adb.ahk”)。

下載程序客戶端腳本還負(fù)責(zé)實(shí)現(xiàn)持久性，分析受害者，并從位于美國(guó)、荷蘭和瑞典的命令與控制(C&C)服務(wù)器下載和運(yùn)行額外的AHK腳本。

這個(gè)惡意軟件的不同之處在于，它不是直接從C&C服務(wù)器接收命令，而是下載并執(zhí)行AHK腳本來完成不同的任務(wù)。

趨勢(shì)科技的研究人員在一份分析報(bào)告中表示：

“通過這樣做，攻擊者可以決定上傳特定的腳本，為每個(gè)用戶或用戶組實(shí)現(xiàn)定制任務(wù)。這也防止了主要組件被公開，特別是向其他研究人員或沙箱披露。”

其中最主要的是一個(gè)證書竊取程序，目標(biāo)是各種瀏覽器，如谷歌Chrome, Opera, Microsoft Edge等。安裝完成后，攻擊者還將嘗試在受感染的計(jì)算機(jī)上下載SQLite模塊(“sqlite3.dll”)，并使用該模塊對(duì)瀏覽器的應(yīng)用程序文件夾中的SQLite數(shù)據(jù)庫執(zhí)行SQL查詢。

在最后一步，攻擊者從瀏覽器收集并解密憑據(jù)，并通過HTTP POST請(qǐng)求以純文本形式將信息擴(kuò)展到C&C服務(wù)器。

研究人員注意到惡意軟件組件“在代碼級(jí)別上井井有條”，建議使用說明(俄語編寫)可能意味著攻擊鏈創(chuàng)建背后的“雇用黑客”組織，并將其作為一種服務(wù)提供給他人。

研究人員總結(jié)道：

“通過在受害者的操作系統(tǒng)中使用缺乏內(nèi)置編譯器的腳本語言，加載惡意組件來分別完成各種任務(wù)，并頻繁更改C&C服務(wù)器，攻擊者已經(jīng)能夠在沙箱中隱藏他們的攻擊意圖。”

本文翻譯自：https://thehackernews.com/2020/12/autohotkey-based-password-stealer.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。