据趋势安全研究人员称,AutoIt是一种用于自动化Windows界面交互的脚本语言,由于其灵活性和低学习曲线而越来越多地被恶意软件开发者使用。 Micro和Bitdefender。
“反病毒厂商趋势科技威胁研究员Kyle Wilhoit周一在一篇博客文章中称,”最近,我们看到恶意AutoIt工具代码上传到Pastebin的数量正在增加。 “比如,一个常见的工具是键盘记录器。抓住这些代码,任何有不良意图的人都可以在几秒钟内快速编译并运行它。“
”除了在Pastebin和Pastie之类的网站上发现的工具之外,我们还看到恶意软件数量大幅增加使用AutoIt作为脚本语言“,Wilhoit说:<进一步阅读:如何从您的Windows PC中删除恶意软件]
自2008年以来,AutoIt在恶意软件开发中的使用稳步增加,高级电子商务平台Bogdan Botezatu,反病毒厂商Bitdefender的威胁分析师周二通过电子邮件表示。他表示,在AutoIt中编码的恶意软件样本数量最近已达到每月超过2万个,“在早期,AutoIt恶意软件主要用于广告欺诈或为IM创建自我传播机制[即时消息]蠕虫,“Botezatu说。 “现在,AutoIt恶意软件的范围从勒索软件到远程访问应用程序。”
Wilhoit说,最近发现的一个特别复杂的基于AutoIt的恶意软件是DarkComet RAT(远程访问特洛伊程序)的一个版本。他表示,这种恶意软件在受害者的机器上打开后门,与远程命令和控制服务器通信并修改Windows防火墙策略。
DarkComet RAT过去曾用于有针对性的APT风格的攻击,包括叙利亚政府监视该国的政治活动分子。趋势科技发现的变体有趣之处在于它是用AutoIt编写的,具有非常低的防病毒检测率
使用脚本语言开发复杂的恶意软件并不普遍,因为大多数这些语言都需要一个解释器将被安装在机器上或生成非常大的独立可执行文件,Botezatu说,但是,也有例外。例如,Flame cyberespionage恶意软件使用LUA脚本语言来自动执行某些任务,而不被防病毒产品检测到.Botezatu说。
AutoIt非常直观且易于使用,可生成在现代Windows上运行的编译二进制文件Bitdefender的研究人员说,他还说,在网上已经有很多恶意AutoIt代码可供重用,他说,“最重要的是,在AutoIt中创建的恶意软件非常灵活,并且可以很容易地被混淆,这意味着写入一种恶意软件在AutoIt中可以通过多种方式进行重新包装和重新制作,以防止检测并延长其保质期,“Botezatu说。
随着AutoIt等脚本语言不断普及,越来越多的恶意软件开发人员希望向他们迁移, Wilhoit说。 “易于使用和学习,以及能够轻松地将代码发布到流行的drop站,这对于那些有恶意的意图传播他们的工具和恶意软件的演员来说是一个很好的机会。”