AutoIt-Scripting zunehmend von Malware-Entwicklern verwendet

AutoIt, eine Skriptsprache zur Automatisierung von Windows-Interaktionen, wird von Malware-Entwicklern aufgrund seiner Flexibilität und niedrigen Lernkurve zunehmend eingesetzt, so die Sicherheitsforscher von Trend Micro- und Bitdefender.

"Vor kurzem haben wir einen Anstieg der ruchlosen AutoIt-Tool-Code hochgeladen zu Pastebin", sagte Kyle Wilhoit, ein Bedrohungsforscher von Antivirus-Anbieter Trend Micro, am Montag in einem Blog-Post. "Ein gängiges Werkzeug ist zum Beispiel ein Keylogger. Mit diesem Code kann jeder, der schlechte Absichten hat, in Sekundenschnelle kompilieren und ausführen. "

" Zusätzlich zu Tools, die auf Websites wie Pastebin und Pastie zu finden sind, sehen wir auch einen enormen Anstieg der Malware Verwenden von AutoIt als Skriptsprache ", sagte Wilhoit.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Der Einsatz von AutoIt in der Malware-Entwicklung hat seit 2008 stetig zugenommen, Bogdan Botezatu, Senior Bedrohungsanalytiker bei Antivirus-Anbieter Bitdefender sagte Dienstag per E-Mail. Die Anzahl der in AutoIt codierten Malware-Samples habe in letzter Zeit einen Spitzenwert von mehr als 20.000 pro Monat erreicht.

"In den frühen Tagen wurde AutoIt-Malware hauptsächlich für Werbebetrug oder zur Schaffung von Selbstweiterleitungsmechanismen für Instant Messaging verwendet] Würmer ", sagte Botezatu. "Heute reicht die AutoIt-Malware von Ransomware bis hin zu Remote-Access-Anwendungen."

Eine besonders ausgefeilte, kürzlich entdeckte AutoIt-basierte Malware war eine Version des DarkComet RAT (Remote Access Trojan Programm), sagte Wilhoit. Diese Malware öffnet eine Hintertür auf dem Computer des Opfers, kommuniziert mit einem Remote-Befehls- und Kontrollserver und ändert die Windows-Firewall-Richtlinien.

Die DarkComet-RAT wurde in der Vergangenheit bereits bei gezielten Angriffen im APT-Stil eingesetzt die syrische Regierung, um politische Aktivisten im Land auszuspionieren. Interessant an der von Trend Micro gefundenen Variante ist, dass sie in AutoIt verfasst ist und eine sehr niedrige Virenschutzrate aufweist.

Die Verwendung von Skriptsprachen zur Entwicklung komplexer Malware ist keine weit verbreitete Praxis, da die meisten dieser Sprachen einen Interpreter erfordern B. auf der Maschine installiert werden oder sehr große eigenständige ausführbare Dateien erzeugen, sagte Botezatu.

Es gab jedoch Ausnahmen. Zum Beispiel, die Flamme Cyberspionage-Malware verwendet die LUA-Skriptsprache, um einige Aufgaben zu automatisieren, ohne von Antivirus-Produkten erkannt werden, sagte Botezatu.

AutoIt ist sehr intuitiv und einfach zu bedienen, produziert kompilierte Binaries, die out of the Box auf modernen Windows ausgeführt werden Versionen und ist gut dokumentiert, sagte der Bitdefender-Forscher. Außerdem gibt es bereits eine Menge bösartigen AutoIt-Code zur Wiederverwendung im Web.

"Am wichtigsten ist, dass in AutoIt erstellte Malware extrem flexibel ist und leicht verschleiert werden kann, was bedeutet, dass eine einzige Art von Malware geschrieben wird in AutoIt kann auf verschiedene Arten umgepackt und neu gestaltet werden, um eine Erkennung zu verhindern und seine Haltbarkeit zu verlängern ", so Botezatu.

Da Skriptsprachen wie AutoIt immer beliebter werden, wird von mehr Malware-Entwicklern erwartet, dass sie auf sie migrieren. Wilhoit sagte. "Die Benutzerfreundlichkeit und das einfache Lernen sowie die Möglichkeit, auf gängige Dropsites ganz einfach zu schreiben, machen dies zu einer großartigen Gelegenheit für Akteure mit ruchlosen Absichten, ihre Tools und Malware zu verbreiten."