Участились случаи распространения вредоносного ПО AutoIt Compile через фишинговые письма

phishing IOC

Аналитический центр AhnLab SEcurity (ASEC) регулярно публикует информацию о распространении вредоносного программного обеспечения через фишинговые письма. По последней статистике, распространение вредоносных программ, скомпилированных с помощью языка AutoIt, стремительно растет. Ранее преобладали вредоносные программы типа '.NET', однако в последние месяцы распространение AutoIt значительно увеличилось. Самыми распространенными вредоносными программами из числа других также являются XLoader, SnakeKeylogger, RedLine, AgentTesla и RemcosRAT.

Описание

AutoIt - это скриптовый язык, разработанный для автоматизации задач на операционной системе Windows. Он легко компилируется в исполняемый файл (EXE) и обладает меньшим количеством зависимостей от конфигурации и окружения, что делает его более удобным для разработки по сравнению с языком '.NET'.

С августа 2024 года распространение вредоносных программ типа AutoIt резко возросло, в то время как распространение программ типа '.NET' снизилось. В декабре разница в распространении между двумя типами программ практически исчезла. Упомянутая тенденция может быть обусловлена более простой компиляцией программ на языке AutoIt и его меньшими зависимостями от окружения.

До версии 3.3.8.1 зашифрованный сценарий включался в оверлейную часть исполняемого файла и расшифровывался при выполнении. В более новых версиях файл зашифровывается и включается в секцию ресурсов RCData, после чего расшифровывается и выполняется во время выполнения.

Indicators of Compromise

MD5

  • 001c439ef3941045f1d139d2172fc922
  • 0084fa11e77425fd332e10928312f760
  • 013eddd3584c1bebdff3e5efc99ef3d7
  • 0154fe9c5f4ad81beeedcf4fdb397ed4
  • 02371e83603c6f0718c1297bb9c92139
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий