Skrip AutoIt yang semakin digunakan oleh pemaju malware

AutoIt, bahasa skrip untuk mengotomatisasi interaksi antara muka Windows, semakin digunakan oleh pemaju malware berkat fleksibilitas dan keluk pembelajaran rendah, menurut penyelidik keselamatan dari Trend Micro dan Bitdefender.

"Baru-baru ini, kami telah melihat peningkatan jumlah alat alat AutoIt yang dimuat naik ke Pastebin," kata Kyle Wilhoit, penyelidik ancaman pada penjual antivirus Trend Micro, hari ini. "Satu alat yang biasa dilihat, sebagai contoh, adalah keylogger. Mengambil kod ini, sesiapa sahaja yang mempunyai niat buruk dapat dengan cepat menyusun dan menjalankannya dalam hitungan detik. "

" Selain alat yang terdapat di laman web seperti Pastebin dan Pastie, kami juga melihat peningkatan yang besar dalam jumlah malware menggunakan AutoIt sebagai bahasa skrip, "kata Wilhoit.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Penggunaan AutoIt dalam pembangunan perisian has meningkat sejak tahun 2008, Bogdan Botezatu, ancaman penganalisis pada vendor antivirus Bitdefender berkata hari ini melalui e-mel. Jumlah contoh malware yang dikodkan dalam AutoIt baru-baru ini memuncak pada lebih dari 20,000 sebulan, katanya.

"Pada masa-masa awalnya, malware AutoIt kebanyakannya digunakan untuk penipuan iklan atau untuk membuat mekanisme penyebaran sendiri untuk IM [pemesejan segera cacing, "kata Botezatu. "Pada masa ini, malware AutoIt merangkumi ransomware kepada aplikasi akses jauh."

Salah satu perisian canggih yang berasaskan AutoIt yang dijumpai baru-baru ini adalah versi DarkComet RAT (program akses jauh dari Trojan), kata Wilhoit. Malware ini membuka pintu belakang pada mesin mangsa, berkomunikasi dengan arahan jauh dan pelayan kawalan dan mengubah dasar firewall Windows, katanya.

The DarkComet RAT telah digunakan dalam sasaran, gaya APT, serangan pada masa lalu, termasuk oleh kerajaan Syria untuk mengintip aktivis politik di negara ini. Apa yang menarik mengenai varian yang ditemui oleh Trend Micro adalah bahawa ia ditulis dalam AutoIt dan mempunyai kadar pengesanan antivirus yang sangat rendah.

Penggunaan bahasa skrip untuk membangunkan perisian canggih yang canggih bukan merupakan amalan yang meluas, kerana kebanyakan bahasa ini memerlukan penterjemah untuk dipasang pada mesin atau menghasilkan fail boleh laku yang berskala besar, kata Botezatu.

Namun, ada pengecualian. Sebagai contoh, malware cyberespionage Flame menggunakan bahasa skrip LUA untuk mengautomasikan beberapa tugas tanpa dikesan oleh produk antivirus, kata Botezatu.

AutoIt adalah sangat intuitif dan mudah digunakan, menghasilkan binari yang dikompilasi yang kehabisan kotak pada Windows moden versi dan didokumentasikan dengan baik, kata penyelidik Bitdefender. Juga, terdapat banyak kod AutoIt yang berniat jahat yang terdapat di Web untuk digunakan semula, katanya.

"Yang paling penting, malware yang dicipta dalam AutoIt sangat fleksibel dan boleh dengan mudah dibongkar, yang bermaksud bahawa satu jenis malware yang tertulis di AutoIt boleh dibungkus semula dan dibuat semula dalam beberapa cara untuk mengelakkan pengesanan dan memperluaskan jangka hayatnya, "kata Botezatu.

Seperti bahasa skrip seperti AutoIt terus mendapat popularitas, lebih banyak pemaju malware dijangka berpindah ke arah mereka, Wilhoit berkata. "Kemudahan penggunaan dan pembelajaran, serta keupayaan untuk memposting kod dengan mudah ke tempat dropouts popular menjadikan ini peluang yang baik untuk pelakon dengan niat jahat untuk menyebarkan alat dan malware mereka."