AHK RAT Loader
Los investigadores de seguridad han publicado los detalles sobre una campaña de ataque en curso que arroja cargas útiles de RAT a los sistemas comprometidos. Según sus hallazgos, el actor de amenazas está utilizando un script compilado de AutoHotKey (AHK) único como cargador de etapa inicial. La amenaza de malware se elimina como un archivo ejecutable independiente que contiene un intérprete AHK, un script AHK y archivos adicionales incorporados a través del comando FIleInstall. El lenguaje de secuencias de comandos AHK representa una rama del lenguaje AutoIt, que a menudo se usa para automatizar tareas rutinarias y simular la interacción del usuario. Para enmascarar sus herramientas amenazantes, el actor de amenazas también coloca una aplicación legítima en la máquina infectada.
La campaña AHK RAT Loader ha evolucionado rápidamente en los meses desde su lanzamiento con múltiples cadenas de ataque distintas, cada una de las cuales se vuelve cada vez más sofisticada y alcanza nuevas funcionalidades. Las cargas útiles finales de RAT también han mostrado un gran grado de variedad con los piratas informáticos que implementaron el VjW0rm y el Houdini RAT inicialmente, luego cambiaron a njRAT, LimeRAT y RevengeRAT . Una cadena de ataque que usa el AHK RAT Loader pero exhibe ciertas desviaciones del resto de las operaciones en esta campaña entregó el AsyncRAT como su carga útil final.
Características generales del cargador AHK RAT
La primera acción que realiza el script AHK es colocar una aplicación legítima en el directorio% appdata% de la máquina de la víctima. Luego procede a entregar dos archivos en el directorio% programdata%: un lanzador llamado 'conhost.exe' y un archivo de manifiesto que debe acompañarlo. El archivo conhost.exe es una aplicación legítima, pero se aprovecha para ejecutar un archivo de manifiesto dañado mediante un secuestro de ruta. Luego, un VBSSCript establecerá e iniciará la carga útil final de RAT eventualmente.
Las cadenas de ataque posteriores comenzaron a incluir más técnicas contra las soluciones antivirus. Se introdujo un script de Batch y un archivo LNK que apuntaba a él en un intento de deshabilitar Microsoft Defender. Además, a través de un nuevo VBScript, el actor de amenazas intenta bloquear las comunicaciones de los productos antimalware populares manipulando el archivo HOSTS de la víctima. A un ejecutable AHK adicional se le asignó la tarea de enmascarar aún más la carga útil RAT.
Las modificaciones observadas y la introducción de nuevas técnicas muestran los esfuerzos duraderos del actor de amenazas detrás del AHK RAT Loader para evitar la detección mediante controles de seguridad pasivos.
