在本月初,恶意软件研究技术网站Bleeping Computer曾发文称,在2003年为微软Windows操作系统开发的开源热键脚本语言AutoHotKey(AHK)正在越来越受恶意软件开发者的欢迎,并表现出会成为恶意软件开发主流语言的趋势。
尽管拥有数十年恶意软件研究经验的安全专家Vesselin Bontchev认为,AHK并不会超越其他开发语言成为开发恶意软件的首选语言,但趋势科技在本周一用他们的最新发现告诉我们,的确已经有越来越多的基于AHK语言的恶意软件开始出现。
趋势科技在本周一发表的博文中表示,他们发现了RETADUP蠕虫病毒的一个最新版本(由趋势科技检测为WORM_RETADUP.G)。虽然之前的版本(WORM_RETADUP.A和WORM_RETADUP.D)都是利用AutoIt编码的,但这个新版本的编码的确已经切换成了利用AHK。
RETADUP蠕虫是一款利用快捷方式(LNK)文件发起攻击的恶意软件,趋势科技在2017年针对以色列医院的攻击活动中发现了该蠕虫。在当时,RETADUP蠕虫(WORM_RETADUP.A)主要充当了信息窃取者,通过与被称为“GhostCtrl” Android 后门程序实现蠕虫式自我传播、信息窃取(包括系统信息、浏览器信息及通过键盘输入的信息)以及发动钓鱼攻击。
在之后的版本(WORM_RETADUP.D)中,RETADUP的开发者进行了一个很大的调整。尽管仍利用AutoIt编码并保留了利用LNK文件来发起攻击以及蠕虫式自我传播的特性,但这个新的版本的确已经正式成为了一个加密货币矿工的加载器。
至于上面提到的这个最新的版本(WORM_RETADUP.G),它在传播技术、逃避检测以及安装加密货币矿工的技术与WORM_RETADUP.D有很大的相似之处。但在利用开发语言方面出现了重大转变,即开始利用AHK。
WORM_RETADUP.G仍然使用LNK文件作为其主要启动程序,不过它需要使用AHK解释器来运行恶意脚本,所以如果受感染设备并没有安装AHK,它会在初始感染后下载AHK。
此外,它还会创建定期执行的任务以实现持久性和特权提升,并通过进程名识别受感染设备上是否存在由AutoIt版本RETADUP加载的加密货币矿工。如果存在,则新的矿工进程便不会被执行。
WORM_RETADUP.G使用的加密货币矿工组件仍包含利用AutoIt编译的脚本,其中包含嵌入式二进制文件(注入器模块的一种形式),该文件将直接注入内存(notepad.exe进程)中。在二进制文件内部是一个打包的XMRIG组件和一个XMRIG配置文件,后者将被放入受感染系统的%APPDATA%\<random>文件夹中。此外,加密货币矿工组件现在已经切换使用私人门罗币采矿池。
如同其他安全专家的观点一样,趋势科技也认为,由于AHK是恶意软件领域的新成员,所以目前缺乏可以帮助分析基于AHK开发的恶意软件的已知工具,这或许也是RETADUP开发者选择利用这种开发语言的原因之一。尽管WORM_RETADUP.G的一些组件仍然基于AutoIt,但由于存在这种多态性,可能使得它能够绕过目前大多数安全产品的检测。