Ang pag-script ng AutoIt na unting ginagamit ng mga developer ng malware

AutoIt, isang scripting language para sa automating interaksyon ng interface ng Windows, ay lalong ginagamit ng mga developer ng malware salamat sa kakayahang umangkop at mababang pag-aaral ng curve, ayon sa mga mananaliksik sa seguridad mula sa Trend Micro and Bitdefender.

"Kamakailan lamang, nakita namin ang isang uptick sa halaga ng kasuklam-suklam AutoIt tool code na na-upload sa Pastebin," Kyle Wilhoit, isang pananaliksik na banta sa antivirus vendor Trend Micro, sinabi Lunes sa isang blog post. "Ang isang karaniwang nakikitang tool, halimbawa, ay isang keylogger. Sinusuka ang code na ito, sinuman na may masamang intensyon ay maaaring mabilis na sumulat ng libro at magpatakbo ng mga ito sa ilang mga segundo. "

" Bilang karagdagan sa mga tool na matatagpuan sa mga site tulad ng Pastebin at Pastie, nakikita rin namin ang isang napakalaking pagtaas sa halaga ng malware gamit ang AutoIt bilang isang wika sa pag-script, "sabi ni Wilhoit.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]

Ang paggamit ng AutoIt sa pag-unlad ng malware ay patuloy na nadagdagan mula noong 2008, si Bogdan Botezatu, pagbabanta analyst sa antivirus vendor Bitdefender sinabi Martes sa pamamagitan ng email. Ang bilang ng mga sample ng malware na naka-code sa AutoIt ay kamakailan ay masakit sa higit sa 20,000 bawat buwan, sinabi niya.

"Sa mga unang araw nito, ang AutoIt malware ay kadalasang ginagamit para sa pandaraya sa advertising o upang lumikha ng mga mekanismo ng pagpapalaganap ng sarili para sa IM [instant messaging] worm, "sabi ni Botezatu. "Sa kasalukuyan, ang AutoIt malware ay sumasaklaw sa ransomware sa mga remote access application."

Isang partikular na sopistikadong piraso ng AutoIt-based malware na natuklasan kamakailan ay isang bersyon ng DarkComet RAT (remote access Trojan program), sinabi ni Wilhoit. Ang malware na ito ay nagbukas ng backdoor sa makina ng biktima, nakikipag-usap sa isang remote command at control server at binabago ang mga patakaran ng Windows firewall, sinabi niya.

Ang DarkComet RAT ay ginagamit sa naka-target, APT-style, atake sa nakaraan, kabilang ang pamahalaang Syrian na sumubaybay sa mga aktibista sa pulitika sa bansa. Ano ang kawili-wili tungkol sa variant na natagpuan ng Trend Micro na nakasulat ito sa AutoIt at may napakababang rate ng pagtuklas ng antivirus.

Ang paggamit ng mga scripting language upang bumuo ng sopistikadong malware ay hindi isang malawakang kasanayan, dahil ang karamihan ng mga wikang ito ay nangangailangan ng interpreter na mai-install sa makina o makagawa ng napakalaking nakapag-iisa na executable file, sinabi ni Botezatu.

Gayunpaman, nagkaroon ng mga pagbubukod. Halimbawa, ginamit ng Flame cyberespionage malware ang LUA scripting language upang i-automate ang ilang mga gawain nang hindi napansin ng mga produkto ng antivirus, sinabi ni Botezatu.

AutoIt ay sobrang intuitive at madaling gamitin, gumagawa ng naipon na mga binary na naubusan ng kahon sa mga modernong Windows mga bersyon at mahusay na dokumentado, sinabi ng researcher ng Bitdefender. Gayundin, mayroon nang maraming malisyosong code ng AutoIt na magagamit sa Web para sa muling paggamit, sinabi niya.

"Ang pinakamahalaga, ang malware na nilikha sa AutoIt ay lubos na kakayahang umangkop at madaling ma-obfuscated, na nangangahulugang isang lahi ng malware na nakasulat sa AutoIt ay maaaring repackaged at muling ginawa sa maraming mga paraan upang maiwasan ang pagtuklas at palawakin ang buhay shelf nito, "sinabi Botezatu.

Tulad ng mga scripting wika tulad ng AutoIt patuloy na makakuha ng katanyagan, higit pang mga malware developer ay inaasahan na lumipat patungo sa kanila, Sinabi ni Wilhoit. "Ang kadalian ng paggamit at pag-aaral, pati na rin ang kakayahang mag-post ng code madali sa mga popular na dropsites ay gumawa ng isang mahusay na pagkakataon para sa mga aktor na may kasuklam-suklam na intensyon upang palaganapin ang kanilang mga tool at malware."