Automaattinen ohjelmointi, jota haittaohjelmien kehittäjät ovat yhä useammin käyttäneet

Automaattinen ohjelmointikieli Windowsin käyttöliittymien automatisoinnin automatisoimiseksi käytetään yhä useammin haittaohjelmien kehittäjiltä joustavuuden ja alhaisen oppimiskäyrän ansiosta Trendin tietoturvatutkijoiden mukaan Micro ja Bitdefender.

"Viime aikoina olemme nähneet, että Pastebiniin on ladattu haavoittuneen AutoIt-työkalun määrä," sanoo maanantaina blogikirjoitusyritys Trend Microin uhkakokeilijan Kyle Wilhoit. "Yksi yleisesti havaittavista työkaluista on esimerkiksi keylogger. Tämän koodin avulla joku, jolla on huonot aikomukset, voi nopeasti kääntää ja käyttää sitä muutamassa sekunnissa. "

" Paikallisten sivustojen, kuten Pastebinin ja Pastien, löytämien työkalujen lisäksi havaitsemme myös haittaohjelmien määrää käyttää AutoItia komentosarjana ", Wilhoit totesi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

AutoItin käyttö haittaohjelmien kehittämisessä on tasaisesti kasvanut vuodesta 2008 lähtien, Bogdan Botezatu, uhka analyytikko virustentorjunnan myyjä Bitdefender sanoi tiistaina sähköpostitse. AutoItissä koodattujen haittaohjelmien näytteiden määrä on hiljattain noussut yli 20 000: een kuukaudessa, hän totesi.

"Alkuvaiheissaan AutoIt-haittaohjelmia käytettiin lähinnä petosten mainostamiseen tai luomaan itselähettämismekanismeja pikaviestipalveluille] matoja ", Botezatu sanoi. "Nykyään AutoIt-haittaohjelmat vaihtelevat ransomware-ohjelmista etäkäyttöohjelmiin."

Eräs erityisen hienostunut AutoIt-pohjainen haittaohjelma, joka löytyi äskettäin, oli DarkComet RAT -versio (Remote Access Trojan -ohjelma), Wilhoit sanoi. Tämä haittaohjelma avaa takaportin uhrin koneelle, kommunikoi etäkomento- ja ohjauspalvelimen kanssa ja muokkaa Windowsin palomuurisääntöjä.

DarkComet RAT on käytetty aiemmin kohdennetuissa APT-tyyppisissä hyökkäyksissä, mukaan lukien Syyrian hallitus vakoilee maan poliittisia aktivisteja. Trend Micro: n mielenkiintoinen muunnos on se, että se on kirjoitettu AutoIt-järjestelmässä ja sillä on hyvin alhainen virustentorjuntahäiriöiden havaitsemisaste.

Skriptikielten käyttäminen kehittyneiden haittaohjelmien kehittämiseen ei ole yleinen käytäntö, koska useimmat näistä kielistä vaativat tulkin asennetaan koneeseen tai tuotetaan hyvin suuria erillisiä suoritustiedostoja, Botezatu sanoi.

Poikkeuksia on kuitenkin esiintynyt. Esimerkiksi Flame cyberespionage haittaohjelma käytti LUA-skriptauskieltä automatisoimaan joitakin tehtäviä, vaikka virustentuotteita ei havaittu, Botezatu sanoi.

AutoIt on erittäin intuitiivinen ja helppokäyttöinen, tuottaa koottuja binäärejä, versioita ja se on hyvin dokumentoitu, Bitdefender-tutkija sanoi.

"Tärkeintä on, että AutoIt-ohjelmassa luotu haittaohjelma on erittäin joustava ja helposti häiriintynyt, mikä merkitsee sitä, että vain yksi haavoittuvuusohjelma on kirjoitettu AutoIt voidaan pakata uudelleen ja muotoilla uudelleen monella tavalla estääkseen havaitsemisen ja pidentää sen säilyvyysaikaa ", Botezatu sanoi.

Kun AutoIt-ohjelmointikielet jatkavat suosiotaan, lisää haittaohjelmien kehittäjien odotetaan siirtyvän kohti niitä, Wilhoit sanoi. "Helppokäyttöisyys ja oppiminen sekä kyky postittaa koodi helposti suosittuihin pudotuspeleihin tekevät tästä erinomaisen mahdollisuuden toimijoille, joilla on halventavia aikomuksia levittää työkalujaan ja haittaohjelmiaan."