AHK RAT Loader

I dettagli su una campagna di attacco in corso che rilascia i payload RAT su sistemi compromessi alla fine sono stati rilasciati dai ricercatori della sicurezza. Secondo le loro scoperte, l'attore della minaccia utilizza uno script compilato AutoHotKey (AHK) univoco come caricatore della fase iniziale. La minaccia malware viene rilasciata come file eseguibile autonomo che contiene un interprete AHK, uno script AHK e file aggiuntivi incorporati tramite il comando FIleInstall. Il linguaggio di scripting AHK rappresenta un ramo del linguaggio AutoIt, che viene spesso utilizzato per automatizzare le attività di routine e simulare l'interazione dell'utente. Per mascherare i propri strumenti minacciosi, l'attore della minaccia rilascia anche un'applicazione legittima sulla macchina infetta.

La campagna AHK RAT Loader si è evoluta rapidamente nei mesi da quando è stata lanciata con più catene di attacchi distinte, ognuna diventando sempre più sofisticata e raggiungendo nuove funzionalità. I payload RAT finali hanno mostrato un alto grado di varietà con gli hacker che implementano la VjW0rm e Houdini RAT inizialmente, poi passando al njRAT, il LimeRAT, e il RevengeRAT. Una catena di attacchi che utilizza l'AHK RAT Loader ma mostra alcune deviazioni dal resto delle operazioni in questa campagna ha consegnato l'AsyncRAT come carico utile finale.

Caratteristiche generali del caricatore AHK RAT

La prima azione eseguita dallo script AHK è rilasciare un'applicazione legittima nella directory% appdata% sul computer della vittima. Procede quindi a fornire due file nella directory% programdata%: un programma di avvio denominato "conhost.exe" e un file manifest che deve accompagnarlo. Il file conhost.exe è un'applicazione legittima ma viene sfruttato per eseguire un file manifest danneggiato tramite un dirottamento del percorso. Quindi un VBSSCript stabilirà e avvierà il payload RAT finale alla fine.

Le successive catene di attacchi hanno iniziato a includere più tecniche contro le soluzioni AV. Uno script Batch e un file LNK che punta ad esso sono stati introdotti nel tentativo di disabilitare Microsoft Defender. Inoltre, attraverso un nuovo VBScript, l'attore della minaccia cerca di bloccare le comunicazioni per i prodotti anti-malware più diffusi manomettendo il file HOSTS della vittima. Un ulteriore eseguibile AHK è stato incaricato di mascherare ulteriormente il payload RAT.

Le modifiche osservate e l'introduzione di nuove tecniche mostrano gli sforzi duraturi dell'attore della minaccia dietro l'AHK RAT Loader per evitare il rilevamento da parte dei controlli di sicurezza passivi.