AutoHotkey是适用于Windows的免费开源热键脚本语言。研究人员发现,作为2020年初开始的持续活动的一部分,黑客正在传播一种用AutoHotkey(AHK)脚本语言编写的新证书窃取程序。美国和加拿大的金融机构客户是攻击的主要目标,特别是针对Scotiabank、RoyalBankofCanada、HSBC、AlternaBank、CapitalOne、Manulife和EQBank等银行,目的是窃取用户的银行卡号和PIN,还有一家印度银行:ICICI银行。AutoHotkey是一种用于MicrosoftWindows的开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复性任务。多阶段感染链从一个充满恶意软件的Excel文件开始,该文件嵌入了VisualBasicforApplications(VBA)AutoOpen宏,然后用于传递合法的便携式AHK脚本编译器可执行文件(“adb.exe”)删除并执行下载客户端脚本(“adb.ahk”)。下载客户端脚本还负责持久化、分析受害者以及从位于美国、荷兰和荷兰的命令和控制(C&C)服务器下载和运行其他AHK脚本瑞典。让这个恶意软件与众不同的是,它不是直接从C&C服务器接收命令,而是下载并执行AHK脚本来完成不同的任务。“通过这样做,攻击者可以决定上传特定脚本,为每个用户执行自定义任务或一组用户,”趋势科技研究人员在分析中说。“这也可以防止主要组件被暴露,特别是对其他研究人员或沙盒披露。其中最主要的是针对各种浏览器(例如GoogleChrome、Opera、MicrosoftEdge等)的凭据窃取程序。安装后,攻击者还会尝试在受感染的计算机上下载SQLite模块(“sqlite3.dll”),并使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。在最后一步,攻击者从浏览器收集和解密凭据,并通过HTTPPOST请求将信息以明文形式扩展到C&C服务器。注意到恶意软件组件是“在代码级别组织的”,研究人员表示,这些说明(用俄语编写)可能暗示攻击链创建背后的“黑客雇佣”组织并将其作为服务提供给其他的。“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言,加载恶意组件以单独完成各种任务,并对C&C服务器进行频繁更改,攻击者已经能够隐藏他们的攻击意图。”本文翻译自:https://thehackernews.com/2020/12/autohotkey-based-password-stealer.html如有转载请注明原文地址。
