惡意程式藉助 AutoIt 指令碼來逃避殺軟的檢測

來自 IBM X-Force 研究團隊的報告顯示，在此次巴西銀行攻擊事件中，黑客使用了 AutoIt 指令碼工具來安裝遠控木馬（RAT），該木馬能夠劫持基於瀏覽器的銀行業務會話。

AutoIt 是一個免費的管理工具，它通過指令碼來自動化的實現系統管理。研究人員表示，使用 AutoIt 指令碼能降低被防毒工具檢測到的可能性。通過使用 AutoIt 指令碼來編譯惡意程式碼並將其作為正常的基於 AutoIt 框架的程式往往能夠繞過殺軟的檢測。

X-Force 的研究人員 Gadi Ostrovsky 和 Limor Kessem 補充道：“使用 AutoIt 指令碼可以防止殺軟的靜態查殺，例如檢測惡意程式的 hash 值。” 他們在上週三共同撰寫了該分析報告。

“一旦完成木馬的安裝，它就會開始監視瀏覽器視窗的標題欄名稱，如果檢測到的名稱是銀行，則會通過全屏的影像或其它網頁阻止來自銀行的真實網頁。接下來，攻擊者會控制受害使用者的機器和可能已經認證過的銀行會話。” 研究人員介紹說，“攻擊者將遠端啟動受控端進行欺詐交易，並藉助螢幕 Overlay 技術來提示使用者提供更多的詳細資訊。”

同時，X-Force 的研究人員還表示，巴西已經成了金融惡意軟體的 “溫床”，近期使用 Overlay 技術的惡意軟體不斷增多也突出了該地區出現更復雜惡意程式碼的趨勢。

“在過去的一年裡，我們觀察到了金融惡意軟體的興起，如 Client Maximus 以及其它類似的程式，它們使用遠端訪問和 Overlay 技術進行金融欺詐。最近，我們發現一種新的遠控木馬（RAT），它使用了幾乎相同的技術，但其免殺手法則是又一個轉折點。” X-Force 團隊表示。

該 RAT 程式的程式碼由 Delphi 編寫，Delphi 是針對巴西的黑客攻擊中常見的程式語言。“在相關攻擊中可以看到很多關於這些 Delphi 程式碼模組的複用，並且惡意軟體也沒有像通常那樣被定義為具體的木馬家族（如 Zeus，Ursnif，Dridex 等）。” Kessem 在接受 Threatpost 採訪時表示。

過去，AutoIt 也多次被攻擊者用於躲避反病毒軟體的查殺。Cisco Talos 團隊曾在 15 年指出，黑客們已經把該工具與釣魚攻擊結合了起來，旨在通過模仿正常系統管理員的活動來隱匿目標系統上安裝的 RAT 程式。

事實上早在 13 年，研究人員就注意到使用 AutoIt 指令碼的惡意軟體數目在增長，同時還出現了將 AutoIt 開發的鍵盤記錄器和 RAT 程式上傳到文字共享網站（如 Pastebin）的案例。

X-Force 的研究人員表示，在巴西基於 Overlay 技術的惡意軟體仍然是金融攻擊的首選，只要這種型別的攻擊還有效，那麼惡意者也就沒必要做其它的變化。

原文連結：https://threatpost.com/autoit-scripting-used-by-overlay-malware-to-bypass-av-detection/128845/

本文由看雪翻譯小組 BDomne 編譯