[[373487]]

AutoHotkey 是一款免費的、Windows平臺下開放源代碼的熱鍵腳本語言。

研究人員發(fā)現(xiàn)黑客正在傳播一種用AutoHotkey (AHK)腳本語言編寫的新證書竊取器，這是自2020年初開始的一項持續(xù)活動的一部分。

美國和加拿大的金融機構(gòu)客戶是此次攻擊的主要目標，特別是針對銀行，如豐業(yè)銀行、加拿大皇家銀行、匯豐銀行、Alterna銀行、第一資本銀行、宏利人壽和EQ銀行，目的就是竊取用戶的銀行卡號和密碼，另外還包括一家印度銀行：印度工業(yè)信貸投資銀行。

AutoHotkey是一種面向Microsoft Windows的開源自定義腳本語言，旨在為宏創(chuàng)建和軟件自動化提供簡單的熱鍵，允許用戶在任何Windows應(yīng)用程序中自動化重復(fù)的任務(wù)。

多階段感染鏈開始于一個嵌入了Visual Basic for Applications (VBA) AutoOpen宏的帶有惡意軟件的Excel文件，該文件隨后被用來通過合法的可移植AHK腳本編譯器可執(zhí)行文件(“adb.exe”)刪除和執(zhí)行下載程序客戶端腳本(“adb.ahk”)。

下載程序客戶端腳本還負責(zé)實現(xiàn)持久性，分析受害者，并從位于美國、荷蘭和瑞典的命令與控制(C&C)服務(wù)器下載和運行額外的AHK腳本。

這個惡意軟件的不同之處在于，它不是直接從C&C服務(wù)器接收命令，而是下載并執(zhí)行AHK腳本來完成不同的任務(wù)。

趨勢科技的研究人員在一份分析報告中表示：

“通過這樣做，攻擊者可以決定上傳特定的腳本，為每個用戶或用戶組實現(xiàn)定制任務(wù)。這也防止了主要組件被公開，特別是向其他研究人員或沙箱披露。”

其中最主要的是一個證書竊取程序，目標是各種瀏覽器，如谷歌Chrome, Opera, Microsoft Edge等。安裝完成后，攻擊者還將嘗試在受感染的計算機上下載SQLite模塊(“sqlite3.dll”)，并使用該模塊對瀏覽器的應(yīng)用程序文件夾中的SQLite數(shù)據(jù)庫執(zhí)行SQL查詢。

在最后一步，攻擊者從瀏覽器收集并解密憑據(jù)，并通過HTTP POST請求以純文本形式將信息擴展到C&C服務(wù)器。

研究人員注意到惡意軟件組件“在代碼級別上井井有條”，建議使用說明(俄語編寫)可能意味著攻擊鏈創(chuàng)建背后的“雇用黑客”組織，并將其作為一種服務(wù)提供給他人。

研究人員總結(jié)道：

“通過在受害者的操作系統(tǒng)中使用缺乏內(nèi)置編譯器的腳本語言，加載惡意組件來分別完成各種任務(wù)，并頻繁更改C&C服務(wù)器，攻擊者已經(jīng)能夠在沙箱中隱藏他們的攻擊意圖。”

本文翻譯自：https://thehackernews.com/2020/12/autohotkey-based-password-stealer.html如若轉(zhuǎn)載，請注明原文地址。