Аналитический центр AhnLab SEcurity (ASEC) регулярно публикует информацию о распространении вредоносного программного обеспечения через фишинговые письма. По последней статистике, распространение вредоносных программ, скомпилированных с помощью языка AutoIt, стремительно растет. Ранее преобладали вредоносные программы типа '.NET', однако в последние месяцы распространение AutoIt значительно увеличилось. Самыми распространенными вредоносными программами из числа других также являются XLoader, SnakeKeylogger, RedLine, AgentTesla и RemcosRAT.
Описание
AutoIt - это скриптовый язык, разработанный для автоматизации задач на операционной системе Windows. Он легко компилируется в исполняемый файл (EXE) и обладает меньшим количеством зависимостей от конфигурации и окружения, что делает его более удобным для разработки по сравнению с языком '.NET'.
С августа 2024 года распространение вредоносных программ типа AutoIt резко возросло, в то время как распространение программ типа '.NET' снизилось. В декабре разница в распространении между двумя типами программ практически исчезла. Упомянутая тенденция может быть обусловлена более простой компиляцией программ на языке AutoIt и его меньшими зависимостями от окружения.
До версии 3.3.8.1 зашифрованный сценарий включался в оверлейную часть исполняемого файла и расшифровывался при выполнении. В более новых версиях файл зашифровывается и включается в секцию ресурсов RCData, после чего расшифровывается и выполняется во время выполнения.
Indicators of Compromise
MD5
- 001c439ef3941045f1d139d2172fc922
- 0084fa11e77425fd332e10928312f760
- 013eddd3584c1bebdff3e5efc99ef3d7
- 0154fe9c5f4ad81beeedcf4fdb397ed4
- 02371e83603c6f0718c1297bb9c92139