當前位置:
首頁 > 新聞 > RETADUP蠕蟲病毒現新變種 熱鍵腳本語言AHK再被利用

RETADUP蠕蟲病毒現新變種 熱鍵腳本語言AHK再被利用

在本月初,惡意軟體研究技術網站Bleeping Computer曾發文稱,在2003年為微軟Windows操作系統開發的開源熱鍵腳本語言AutoHotKey(AHK)正在越來越受惡意軟體開發者的歡迎,並表現出會成為惡意軟體開發主流語言的趨勢。

儘管擁有數十年惡意軟體研究經驗的安全專家Vesselin Bontchev認為,AHK並不會超越其他開發語言成為開發惡意軟體的首選語言,但趨勢科技在本周一用他們的最新發現告訴我們,的確已經有越來越多的基於AHK語言的惡意軟體開始出現。

趨勢科技在本周一發表的博文中表示,他們發現了RETADUP蠕蟲病毒的一個最新版本(由趨勢科技檢測為WORM_RETADUP.G)。雖然之前的版本(WORM_RETADUP.A和WORM_RETADUP.D)都是利用AutoIt編碼的,但這個新版本的編碼的確已經切換成了利用AHK。

RETADUP蠕蟲是一款利用快捷方式(LNK)文件發起攻擊的惡意軟體,趨勢科技在2017年針對以色列醫院的攻擊活動中發現了該蠕蟲。在當時,RETADUP蠕蟲(WORM_RETADUP.A)主要充當了信息竊取者,通過與被稱為「GhostCtrl」 Android 後門程序實現蠕蟲式自我傳播、信息竊取(包括系統信息、瀏覽器信息及通過鍵盤輸入的信息)以及發動釣魚攻擊。

在之後的版本(WORM_RETADUP.D)中,RETADUP的開發者進行了一個很大的調整。儘管仍利用AutoIt編碼並保留了利用LNK文件來發起攻擊以及蠕蟲式自我傳播的特性,但這個新的版本的確已經正式成為了一個加密貨幣礦工的載入器。

至於上面提到的這個最新的版本(WORM_RETADUP.G),它在傳播技術、逃避檢測以及安裝加密貨幣礦工的技術與WORM_RETADUP.D有很大的相似之處。但在利用開發語言方面出現了重大轉變,即開始利用AHK。

WORM_RETADUP.G仍然使用LNK文件作為其主要啟動程序,不過它需要使用AHK解釋器來運行惡意腳本,所以如果受感染設備並沒有安裝AHK,它會在初始感染後下載AHK。

此外,它還會創建定期執行的任務以實現持久性和特權提升,並通過進程名識別受感染設備上是否存在由AutoIt版本RETADUP載入的加密貨幣礦工。如果存在,則新的礦工進程便不會被執行。

WORM_RETADUP.G使用的加密貨幣礦工組件仍包含利用AutoIt編譯的腳本,其中包含嵌入式二進位文件(注入器模塊的一種形式),該文件將直接注入內存(notepad.exe進程)中。在二進位文件內部是一個打包的XMRIG組件和一個XMRIG配置文件,後者將被放入受感染系統的%APPDATA%文件夾中。此外,加密貨幣礦工組件現在已經切換使用私人門羅幣採礦池。

如同其他安全專家的觀點一樣,趨勢科技也認為,由於AHK是惡意軟體領域的新成員,所以目前缺乏可以幫助分析基於AHK開發的惡意軟體的已知工具,這或許也是RETADUP開發者選擇利用這種開發語言的原因之一。儘管WORM_RETADUP.G的一些組件仍然基於AutoIt,但由於存在這種多態性,可能使得它能夠繞過目前大多數安全產品的檢測。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 威客安全 的精彩文章:

WannaMine新動向:對Weblogic服務端發起大規模攻擊
黑客組織Orangeworm通過入侵X射線和核磁共振設備竊取患者數據

TAG:威客安全 |