恶意程序借助 AutoIt 脚本来逃避杀软的检测

来自 IBM X-Force 研究团队的报告显示，在此次巴西银行攻击事件中，黑客使用了 AutoIt 脚本工具来安装远控木马（RAT），该木马能够劫持基于浏览器的银行业务会话。

AutoIt 是一个免费的管理工具，它通过脚本来自动化的实现系统管理。研究人员表示，使用 AutoIt 脚本能降低被防毒工具检测到的可能性。通过使用 AutoIt 脚本来编译恶意代码并将其作为正常的基于 AutoIt 框架的进程往往能够绕过杀软的检测。

X-Force 的研究人员 Gadi Ostrovsky 和 Limor Kessem 补充道：“使用 AutoIt 脚本可以防止杀软的静态查杀，例如检测恶意程序的 hash 值。” 他们在上周三共同撰写了该分析报告。

“一旦完成木马的安装，它就会开始监视浏览器窗口的标题栏名称，如果检测到的名称是银行，则会通过全屏的图像或其它网页阻止来自银行的真实网页。接下来，攻击者会控制受害用户的机器和可能已经认证过的银行会话。” 研究人员介绍说，“攻击者将远程启动受控端进行欺诈交易，并借助屏幕 Overlay 技术来提示用户提供更多的详细信息。”

同时，X-Force 的研究人员还表示，巴西已经成了金融恶意软件的 “温床”，近期使用 Overlay 技术的恶意软件不断增多也突出了该地区出现更复杂恶意代码的趋势。

“在过去的一年里，我们观察到了金融恶意软件的兴起，如 Client Maximus 以及其它类似的程序，它们使用远程访问和 Overlay 技术进行金融欺诈。最近，我们发现一种新的远控木马（RAT），它使用了几乎相同的技术，但其免杀手法则是又一个转折点。” X-Force 团队表示。

该 RAT 程序的代码由 Delphi 编写，Delphi 是针对巴西的黑客攻击中常见的编程语言。“在相关攻击中可以看到很多关于这些 Delphi 代码模块的复用，并且恶意软件也没有像通常那样被定义为具体的木马家族（如 Zeus，Ursnif，Dridex 等）。” Kessem 在接受 Threatpost 采访时表示。

过去，AutoIt 也多次被攻击者用于躲避反病毒软件的查杀。Cisco Talos 团队曾在 15 年指出，黑客们已经把该工具与钓鱼攻击结合了起来，旨在通过模仿正常系统管理员的活动来隐匿目标系统上安装的 RAT 程序。

事实上早在 13 年，研究人员就注意到使用 AutoIt 脚本的恶意软件数目在增长，同时还出现了将 AutoIt 开发的键盘记录器和 RAT 程序上传到文本共享网站（如 Pastebin）的案例。

X-Force 的研究人员表示，在巴西基于 Overlay 技术的恶意软件仍然是金融攻击的首选，只要这种类型的攻击还有效，那么恶意者也就没必要做其它的变化。

原文链接：cbcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9s2u0W2j5i4c8H3L8%4y4@1i4K6u0W2j5$3!0E0i4K6u0r3j5i4g2@1L8$3W2@1i4K6u0V1M7$3y4J5K9i4m8@1K9h3&6Y4i4K6u0V1N6i4y4W2k6q4)9J5k6r3u0&6i4K6u0V1L8%4k6W2M7X3I4S2P5g2)9J5k6r3#2S2L8s2N6S2M7X3g2Q4x3X3c8@1L8#2)9J5k6r3u0&6M7r3q4K6M7#2)9J5k6r3q4$3i4K6u0V1k6r3g2@1k6h3y4@1K9h3!0F1i4K6u0r3x3e0t1^5z5o6b7#2i4K6u0r3

本文由看雪翻译小组 BDomne 编译

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课