Скрипты AutoIt, все более используемые разработчиками вредоносных программ

AutoIt, язык сценариев для автоматизации взаимодействий с интерфейсом Windows, все чаще используется разработчиками вредоносных программ благодаря своей гибкости и низкой кривой обучения, считают исследователи безопасности Trend Micro и Bitdefender.

«В последнее время мы увидели всплеск количества поддельного кода инструмента AutoIt, загружаемого в Pastebin», - заявил в понедельник в блоге в понедельник сотрудник веб-сайта Trend Micro, разработчик антивирусной программы Trend Micro Кайл Вильхойт. «Например, широко известный инструмент, например, является кейлоггером. Схватив этот код, любой, у кого есть плохие намерения, может быстро скомпилировать и запустить его за считанные секунды ».

« Помимо инструментов, найденных на таких сайтах, как Pastebin и Pastie, мы также видим огромный рост количества вредоносных программ используя AutoIt как язык сценариев », - сказал Вильхойт.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Использование AutoIt в разработке вредоносных программ неуклонно растет с 2008 года, Богдан Ботезату, аналитик по угрозам в антивирусе Bitdefender заявил во вторник по электронной почте. Число проб вредоносных программ, закодированных в AutoIt, в последнее время достигло максимума более чем на 20000 в месяц, сказал он.

«В первые дни вредоносное ПО AutoIt в основном использовалось для рекламного мошенничества или для создания механизмов самораспространения для IM [мгновенного обмена сообщениями] червей, - сказал Ботезату. «В настоящее время вредоносное ПО AutoIt варьируется от ransomware до приложений удаленного доступа».

Одной из особенно сложных частей вредоносной программы на основе AutoIt, недавно обнаруженной, была версия DarkComet RAT (программа троянов удаленного доступа), сказал Вильхойт. Это вредоносное ПО открывает бэкдор на машине жертвы, общается с удаленным сервером и сервером управления и изменяет политики брандмауэра Windows, сказал он.

DarkComet RAT использовался в атаках типа APT в прошлом, в том числе сирийское правительство шпионит за политическими активистами в стране. Что интересного в варианте Trend Micro, так это то, что он написан в AutoIt и имеет очень низкий уровень обнаружения антивируса.

Использование языков сценариев для разработки сложных вредоносных программ не является широко распространенной практикой, поскольку для большинства этих языков требуется интерпретатор для установки на машине или создания очень больших автономных исполняемых файлов, сказал Ботезату.

Однако были исключения. Например, вредоносная программа Flame cyberespionage использовала язык сценариев LUA для автоматизации некоторых задач, не будучи обнаруженными антивирусными продуктами, сказал Ботезату.

AutoIt чрезвычайно интуитивно понятен и прост в использовании, создает скомпилированные двоичные файлы, которые выходят из окна на современных Windows версии и хорошо документированы, сказал исследователь Bitdefender. Кроме того, уже существует много вредоносного кода AutoIt, доступного в Интернете для повторного использования, сказал он.

«Самое главное, вредоносное ПО, созданное в AutoIt, является чрезвычайно гибким и может быть легко запутано, а это означает, что одна порожденная вредоносная программа написана в AutoIt можно повторно упаковать и повторно обработать несколькими способами, чтобы предотвратить обнаружение и продлить срок его хранения », - сказал Ботезату.

Поскольку языки сценариев, такие как AutoIt, продолжают набирать популярность, ожидается, что разработчики вредоносных программ будут мигрировать к ним, - сказал Вильхойт. «Простота использования и обучения, а также возможность легко отправлять код на популярные выпадающие сайты делают это отличной возможностью для актеров с гнусным намерением распространять свои инструменты и вредоносное ПО».