AutoIt-skript används alltmer av malware-utvecklare

AutoIt, ett skriptspråk för att automatisera Windows-gränssnittsinteraktioner, används alltmer av malwareutvecklare tack vare sin flexibilitet och låg inlärningskurva, enligt säkerhetsforskare från Trend Micro och Bitdefender.

"Nyligen har vi sett en uptick i mängden av fientliga AutoIt-verktygskoder som laddas upp till Pastebin, säger Kyle Wilhoit, en hotforskare vid antivirusleverantör Trend Micro, säger måndag i ett blogginlägg. "Ett vanligt sett verktyg, till exempel, är en keylogger. Om du tar tag i den här koden kan alla med dåliga intentioner snabbt sammanställa och köra det på några sekunder. "

" Förutom att verktyg finns på webbplatser som Pastebin och Pastie, ser vi också en enorm ökning av malware

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Användningen av AutoIt i skadlig programutveckling har ökat stadigt sedan 2008, Bogdan Botezatu, en senior e- hotanalytiker hos antivirusleverantören Bitdefender sa tisdag via e-post. Antalet skadliga prover kodade i AutoIt har nyligen nått upp till mer än 20 000 per månad, sa han.

"I sin tidiga tid användes AutoIt malware mestadels för att annonsera bedrägeri eller för att skapa självutbredningsmekanismer för IM [snabbmeddelanden] maskar, sade Botezatu. "Idag sträcker sig AutoIt-skadlig programvara från ransomware till fjärråtkomstprogram."

En särskilt sofistikerad del av AutoIt-baserad skadlig kod som nyligen upptäckts var en version av DarkComet RAT-programmet (Remote Access Trojan-programmet), sade Wilhoit. Denna malware öppnar en bakdörr på offrets maskin, kommunicerar med ett fjärrkommandot och en kontrollserver och ändrar Windows-brandvägspolitiken, sa han.

DarkComet RAT har använts i riktade APT-stilattacker, bland annat genom att den syriska regeringen att spionera på politiska aktivister i landet. Det som är intressant om den variant som Trend Micro har hittat är att den har skrivits i AutoIt och har en mycket låg antivirusdetektering.

Användningen av skriptspråk för att utveckla sofistikerad skadlig kod är inte en utbredd övning, eftersom de flesta av dessa språk kräver tolk att installeras på maskinen eller producera mycket stora fristående körbara filer, sade Botezatu.

Det har emellertid funnits undantag. Till exempel använde flame cyberespionage malware LUA-skriptspråket för att automatisera vissa uppgifter utan att detekteras av antivirusprodukter, sade Botezatu.

AutoIt är extremt intuitivt och lätt att använda, producerar kompilerade binärer som löper ut ur rutan på moderna Windows versioner och är väl dokumenterad, sa Bitdefenderforskaren. Dessutom finns det redan mycket skadlig AutoIt-kod tillgänglig på webben för återanvändning, säger han.

"Viktigast är att skadlig programvara som skapats i AutoIt är extremt flexibel och lätt kan förvirras, vilket innebär att en enda ras av skadlig kod skrivs i AutoIt kan ompaketeras och omarbetas på ett antal sätt för att förhindra detektering och förlänga hållbarheten ", säger Botezatu.

Som skriptspråk som AutoIt fortsätter att öka popularitet, förväntas fler malwareutvecklare migrera mot dem, Wilhoit sa. "Lättanvändning och lärande, liksom förmågan att posta kod enkelt till populära dropsites gör det till en utmärkt möjlighet för aktörer med fientliga avsikter att sprida sina verktyg och skadlig kod."