Script AutoIt sempre più utilizzato dagli sviluppatori di malware

AutoIt, un linguaggio di scripting per automatizzare le interazioni dell'interfaccia di Windows, viene sempre più utilizzato dagli sviluppatori di malware grazie alla sua flessibilità e bassa curva di apprendimento, secondo i ricercatori di sicurezza Trend Micro e Bitdefender.

"Recentemente, abbiamo visto un aumento della quantità di codice dello strumento AutoIt che viene caricato su Pastebin", ha detto Kyle Wilhoit, ricercatore di minacce presso il fornitore di antivirus Trend Micro, in un post sul blog. "Uno strumento comunemente visto, ad esempio, è un keylogger. Afferrando questo codice, chiunque abbia cattive intenzioni può rapidamente compilarlo ed eseguirlo in pochi secondi. "

" Oltre agli strumenti disponibili su siti come Pastebin e Pastie, stiamo anche assistendo ad un enorme aumento della quantità di malware utilizzando AutoIt come linguaggio di scripting ", ha detto Wilhoit.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

L'utilizzo di AutoIt nello sviluppo di malware è costantemente aumentato dal 2008, Bogdan Botezatu, un esperto di e- L'analista di minacce al fornitore di antivirus Bitdefender ha detto martedì via email. Il numero di campioni di malware codificati in AutoIt ha raggiunto di recente un picco di oltre 20.000 al mese, ha detto.

"All'inizio, il malware AutoIt veniva utilizzato principalmente per frodi pubblicitarie o per creare meccanismi di auto-propagazione per l'IM [instant messaging] vermi ", ha detto Botezatu. "Oggigiorno, il malware AutoIt spazia dal ransomware alle applicazioni di accesso remoto."

Un pezzo particolarmente sofisticato di malware basato su AutoIt scoperto recentemente era una versione del DarkComet RAT (programma Trojan di accesso remoto), ha detto Wilhoit. Questo malware apre una backdoor sul computer della vittima, comunica con un server di comando e controllo remoto e modifica i criteri del firewall di Windows, ha affermato.

Il DarkComet RAT è stato utilizzato in attacchi mirati in stile APT in passato, incluso il governo siriano per spiare gli attivisti politici nel paese. Ciò che è interessante della variante trovata da Trend Micro è che è scritto in AutoIt e ha un tasso di rilevamento antivirus molto basso.

L'uso di linguaggi di scripting per sviluppare malware sofisticati non è una pratica diffusa, perché la maggior parte di questi linguaggi richiede un interprete Botezatu ha dichiarato: "per essere installato sulla macchina o produrre file eseguibili autonomi di grandi dimensioni.

Tuttavia, ci sono state eccezioni. Ad esempio, il malware di cyberpionage di Flame ha utilizzato il linguaggio di scripting LUA per automatizzare alcune attività senza essere rilevato dai prodotti antivirus, ha detto Botezatu.

AutoIt è estremamente intuitivo e facile da usare, produce binari compilati che funzionano senza finestre moderne versioni ed è ben documentato, ha detto il ricercatore di Bitdefender. Inoltre, c'è già un sacco di codice AutoIt malevolo disponibile sul Web per il riutilizzo, ha detto.

"Soprattutto, il malware creato in AutoIt è estremamente flessibile e può essere facilmente offuscato, il che significa che una singola razza di malware è scritta in AutoIt può essere riconfezionato e rielaborato in vari modi per impedire il rilevamento e prolungarne la durata ", ha detto Botezatu.

Poiché linguaggi di scripting come AutoIt continuano a guadagnare popolarità, ci si aspetta che altri sviluppatori di malware migrino verso di loro, Disse Wilhoit. "La facilità d'uso e di apprendimento, così come la capacità di inviare facilmente dei codici ai siti popolari, rendono questa opportunità eccezionale per gli attori con cattive intenzioni di propagare i loro strumenti e malware."