AHK RAT Loader

Des détails sur une campagne d'attaque en cours qui dépose des charges utiles RAT sur des systèmes compromis ont finalement été publiés par des chercheurs en sécurité. Selon leurs conclusions, l'acteur de la menace utilise un script compilé AutoHotKey (AHK) unique comme chargeur d'étape initial. La menace de logiciel malveillant est supprimée en tant que fichier exécutable autonome contenant un interpréteur AHK, un script AHK et des fichiers supplémentaires incorporés via la commande FIleInstall. Le langage de script AHK représente une branche du langage AutoIt, qui est souvent utilisé pour automatiser les tâches de routine et simuler l'interaction de l'utilisateur. Pour masquer ses outils menaçants, l'acteur de la menace dépose également une application légitime sur la machine infectée.

La campagne AHK RAT Loader a évolué rapidement au cours des mois qui ont suivi son lancement avec plusieurs chaînes d'attaque distinctes, chacune devenant de plus en plus sophistiquée et atteignant de nouvelles fonctionnalités. Les charges utiles RAT finales ont également montré une grande variété avec les pirates informatiques déployant initialement le VjW0rm et le Houdini RAT, puis passant au njRAT, au LimeRAT et au RevengeRAT. Une chaîne d'attaque qui utilise le chargeur AHK RAT mais présente certains écarts par rapport au reste des opérations de cette campagne a livré AsyncRAT comme charge utile finale.

Caractéristiques générales du chargeur AHK RAT

La première action entreprise par le script AHK est de déposer une application légitime dans le répertoire% appdata% sur la machine de la victime. Il procède ensuite à la livraison de deux fichiers dans le répertoire% programdata% - un lanceur nommé «conhost.exe» et un fichier manifeste qui doit l'accompagner. Le fichier conhost.exe est une application légitime mais il est exploité pour exécuter un fichier manifeste corrompu via un détournement de chemin. Ensuite, un VBSSCript établira et lancera finalement la charge utile RAT finale.

Les chaînes d'attaques suivantes ont commencé à inclure davantage de techniques contre les solutions audiovisuelles. Un script Batch et un fichier LNK pointant vers lui ont été introduits pour tenter de désactiver Microsoft Defender. De plus, grâce à un nouveau VBScript, l'acteur de la menace tente de bloquer les communications des produits anti-malware populaires en falsifiant le fichier HOSTS de la victime. Un exécutable AHK supplémentaire a été chargé de masquer davantage la charge utile RAT.

Les modifications observées et l'introduction de nouvelles techniques montrent les efforts durables de l'acteur de la menace derrière l'AHK RAT Loader pour éviter la détection par des contrôles de sécurité passifs.