AutoIt-scripting wordt steeds vaker gebruikt door malware-ontwikkelaars

AutoIt, een scripttaal voor het automatiseren van interacties tussen Windows-interfaces, wordt steeds meer gebruikt door malwareproducenten dankzij de flexibiliteit en lage leercurve, volgens beveiligingsonderzoekers van Trend Micro en Bitdefender.

"Onlangs hebben we een toename gezien in de hoeveelheid snode AutoIt-toolcode die is geüpload naar Pastebin," zei Kyle Wilhoit, een onderzoeker op het gebied van bedreigingen bij Trend Micro, antivirushandelaar, zei maandag in een blogpost. "Een veelgebruikte tool is bijvoorbeeld een keylogger. Grijp deze code, iedereen met slechte bedoelingen kan deze snel compileren en binnen enkele seconden uitvoeren. "

" Naast hulpprogramma's die worden gevonden op sites als Pastebin en Pastie, zien we ook een enorme toename in de hoeveelheid malware gebruikmakend van AutoIt als een scripttaal, "zei Wilhoit.

[Lees meer: ​​Hoe malware van je Windows-pc te verwijderen]

Het gebruik van AutoIt in malware-ontwikkeling is sinds 2008 gestaag toegenomen, Bogdan Botezatu, een senior e- bedreigingsanalist bij antivirusleverancier Bitdefender zei dinsdag via e-mail. Het aantal malware-voorbeelden gecodeerd in AutoIt piekte onlangs met meer dan 20.000 per maand, zei hij.

"AutoIt-malware werd in de begintijd vooral gebruikt voor reclamefraude of om zelfevoortbrengingsmechanismen voor IM te creëren [instant messaging] wormen, "zei Botezatu. "Tegenwoordig varieert de AutoIt-malware van ransomware tot toepassingen voor externe toegang."

Een bijzonder geavanceerd stukje AutoIt-malware dat onlangs werd ontdekt, was een versie van de DarkComet RAT (Trojan-programma met externe toegang), zei Wilhoit. Deze malware opent een achterdeur op de machine van het slachtoffer, communiceert met een opdracht- en beheerserver op afstand en past het firewallbeleid van Windows aan, zei hij.

De DarkComet RAT is gebruikt in gerichte APT-achtige aanvallen in het verleden, inclusief door de Syrische regering om politieke activisten in het land te bespioneren. Wat interessant is aan de door Trend Micro gevonden variant, is dat deze is geschreven in AutoIt en een zeer lage antivirusdetectiegraad heeft.

Het gebruik van scripttalen om geavanceerde malware te ontwikkelen, is geen wijdverbreide praktijk, omdat de meeste van deze talen een tolk vereisen worden geïnstalleerd op de machine of produceren zeer grote zelfstandige uitvoerbare bestanden, zei Botezatu.

Er zijn echter uitzonderingen. De Flame cyberespionage-malware bijvoorbeeld gebruikte de LUA-scriptingtaal om sommige taken te automatiseren zonder te worden gedetecteerd door antivirusproducten, aldus Botezatu.

AutoIt is extreem intuïtief en gemakkelijk te gebruiken, produceert gecompileerde binaries die op moderne Windows-computers niet meer werken versies en is goed gedocumenteerd, zei de onderzoeker van Bitdefender. Ook is er al veel kwaadaardige AutoIt-code beschikbaar op het internet voor hergebruik, zei hij.

"Het belangrijkste is dat malware die is gemaakt in AutoIt extreem flexibel is en gemakkelijk kan worden versluierd, wat betekent dat een enkele soort malware is geschreven in AutoIt kan op een aantal manieren opnieuw worden verpakt en opnieuw bewerkt om detectie te voorkomen en de houdbaarheid te verlengen, "zei Botezatu.

Aangezien scriptingstalen zoals AutoIt aan populariteit blijven winnen, zullen naar verwachting meer malware-ontwikkelaars naar hen migreren, Zei Wilhoit. "Het gebruiksgemak en het leren, evenals de mogelijkheid om gemakkelijk code te verzenden naar populaire dropsites, maken dit een geweldige kans voor acteurs met snode bedoelingen om hun tools en malware te verspreiden."