AutoIt skriptování stále více využívá vývojáři malwaru

AutoIt, skriptovací jazyk pro automatizaci interakcí rozhraní Windows, je stále častěji využíván vývojáři malwaru díky jeho flexibilitě a nízké křivce učení. Micro a Bitdefender

"Nedávno jsme viděli, jak se do Pastebinu nahrálo množství hanlivého kódu nástroje AutoIt," řekl Kyle Wilhoit, výzkumník hrozby u dodavatele antivirových produktů Trend Micro. "Jedním z běžně používaných nástrojů je například keylogger. Chytit tento kód, každý, kdo má špatné úmysly, může rychle zkompilovat a spustit ho za pár vteřin. "

" Kromě nástrojů, které se nacházejí na místech, jako jsou Pastebin a Pastie, také vidíme obrovský nárůst výskytu škodlivého softwaru který používá AutoIt jako skriptovací jazyk, "říká Wilhoit.

Používání AutoIt ve vývoji malwaru se od roku 2008 neustále zvyšuje, Bogdan Botezatu, senior e- analytik hrozby u dodavatele antivirových aplikací Bitdefender uvedl úterý prostřednictvím e-mailu. Počet vzorků škodlivého softwaru kódovaných v AutoIt nedávno dosáhl maxima na více než 20 000 za měsíc.

"V raných dobách byl malware AutoIt nejčastěji využíván pro reklamní podvody nebo pro vytváření mechanismů vlastního šíření pro IM [instant messaging] červy, "řekl Botezatu. "V současné době se malware AutoIt pohybuje od aplikací ransomware až po vzdálený přístup."

Jeden obzvláště důmyslný malware na bázi AutoIt, který byl nedávno objeven, byl verze programu DarkComet RAT (Trojan program pro vzdálený přístup), řekl Wilhoit. Tento malware otevře backdoor na zařízení oběti, komunikuje se vzdáleným příkazovým a řídícím serverem a upravuje zásady brány firewall systému Windows.

DarkComet RAT byl použit v cílených útocích typu APT v minulosti, včetně syrská vláda, aby špehovala politické aktivisty v zemi. Co je zajímavé o variantě, kterou našel Trend Micro, je to, že je napsáno v programu AutoIt a má velmi nízkou míru antivirového zjišťování.

Použití skriptovacích jazyků pro vývoj sofistikovaného malwaru není rozšířenou praxí, protože většina těchto jazyků vyžaduje tlumočníka aby byly nainstalovány na počítači nebo produkovaly velmi velké samostatné spustitelné soubory, uvedl Botezatu.

Nicméně existují výjimky. Například Flame cyberespionage malware používal jazykový skriptovací jazyk LUA k automatizaci některých úloh bez detekce antivirových produktů, říká Botezatu.

AutoIt je extrémně intuitivní a snadno použitelný, vytváří kompilované binární soubory, které běží z krabice na moderním Windows verze a je dobře zdokumentována, řekl výzkumník společnosti Bitdefender. Také existuje již mnoho škodlivého kódu AutoIt, který je k dispozici na webu, aby se mohl znovu použít.

"Nejdůležitější je, že malware vytvořený v AutoIt je extrémně flexibilní a může být snadno zamlžován, což znamená, že jediné psané malware v AutoIt může být přebalen a re-crafted mnoha způsoby, aby se zabránilo detekci a prodloužit jeho trvanlivost, "řekl Botezatu.

Jelikož skriptovací jazyky jako AutoIt stále získají popularitu, očekává se, že další vývojáři malwaru migrují směrem k nim, Řekl Wilhoit. "Jednoduché používání a učení, stejně jako schopnost snadno zkopírovat kód do populárních rozvržení, činí tuto příležitost pro herce s hanebnými úmysly propagovat své nástroje a malware."