AHK RAT Loader

Detalhes sobre uma campanha de ataque em andamento que joga cargas de RAT nos sistemas comprometidos foram finalmente divulgados pelos pesquisadores de segurança. De acordo com suas descobertas, o agente da ameaça está usando um script compilado AutoHotKey (AHK) exclusivo como um carregador de estágio inicial. A ameaça de malware é descartada como um arquivo executável autônomo que contém um interpretador AHK, script AHK e arquivos adicionais incorporados por meio do comando FIleInstall. A linguagem de script AHK representa um ramo da linguagem AutoIt, que costuma ser usada para automatizar tarefas de rotina e simular a interação do usuário. Para mascarar suas ferramentas ameaçadoras, o agente da ameaça também deixa cair um aplicativo legítimo na máquina infectada.

A campanha do AHK RAT Loader evoluiu rapidamente desde que foi lançada com várias cadeias de ataque distintas, cada uma se tornando cada vez mais sofisticada e obtendo novas funcionalidades. Os payloads finais do RAT  também mostraram um grande grau de variedade com os hackers implantando o VjW0rm e o Houdini RAT inicialmente, depois mudando para o njRAT, o LimeRAT e o RevengeRAT. Uma cadeia de ataque que usa o AHK RAT Loader, mas exibe certos desvios do resto das operações nesta campanha, entregou o AsyncRAT como sua carga final.

Características Gerais do Carregador AHK RAT

A primeira ação realizada pelo script AHK é colocar um aplicativo legítimo no diretório% appdata% na máquina da vítima. Em seguida, ele entrega dois arquivos no diretório% programdata% - um iniciador chamado 'conhost.exe' e um arquivo de manifesto que deve estar junto com ele. O arquivo conhost.exe é um aplicativo legítimo, mas é explorado para executar um arquivo de manifesto corrompido por meio de um sequestro de caminho. Então, um VBSSCript estabelecerá e iniciará a carga final útil RAT eventualmente.

As cadeias de ataque subsequentes começaram a incluir mais técnicas contra soluções AV. Um script em lote e um arquivo LNK apontando para ele foram introduzidos na tentativa de desabilitar o Microsoft Defender. Além disso, por meio de um novo VBScript, o agente da ameaça tenta bloquear as comunicações de produtos anti-malware populares, adulterando o arquivo HOSTS da vítima. Um executável AHK adicional foi encarregado de mascarar ainda mais a carga útil do RAT.

As modificações observadas e a introdução de novas técnicas mostram os esforços duradouros do autor da ameaça por trás do AHK RAT Loader para evitar a detecção pelos controles de segurança passivos.