Kötü amaçlı yazılım geliştiricileri tarafından giderek daha fazla kullanılan AutoIt komut dosyası

Windows arabirim etkileşimlerini otomatikleştirmek için bir komut dosyası dili olan AutoIt, esneklik ve düşük öğrenme eğrisi sayesinde, kötü amaçlı yazılım geliştiricileri tarafından giderek artan şekilde, Trend'ten gelen güvenlik araştırmacılarına göre kullanılıyor. Mikro ve Bitdefender.

“Geçenlerde, Pastebin'e yüklenen nefret dolu AutoIt araç kodunun miktarında bir artış gördük”, antivirüs satıcı Trend Micro'nun tehdit araştırmacısı Kyle Wilhoit Pazartesi günkü bir blogda. “Yaygın görülen bir araç, örneğin bir keylogger. Bu kodu yakalayan, kötü niyetleri olan herkes hızlı bir şekilde derleyip çalıştırabilir. ”

“ Pastebin ve Pastie gibi sitelerde bulunan araçlara ek olarak, kötü amaçlı yazılımların miktarında da büyük bir artış görüyoruz. AutoIt'i bir betik dili olarak kullanmak, ”dedi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Kötü amaçlı yazılım geliştirmede AutoIt kullanımı 2008'den bu yana sürekli olarak artmıştır, Bogdan Botezatu, antivirüs satıcısında tehdit analisti Bitdefender, e-posta yoluyla Salı günü söyledi. AutoIt'te kodlanan kötü amaçlı yazılım örneklerinin sayısı son zamanlarda ayda 20.000'den fazla artış gösterdi.

“İlk günlerinde, AutoIt kötü amaçlı yazılımları daha çok reklam sahtekarlığı veya IM için anlık yayılma mekanizmaları oluşturmak için kullanılıyordu.] solucanlar, dedi Botezatu. “Günümüzde, AutoIt kötü amaçlı yazılım, fidye yazılımlarından uzaktan erişim uygulamalarına kadar uzanıyor.”

Son zamanlarda keşfedilen özellikle AutoIt tabanlı kötü amaçlı yazılımlardan bir tanesi, DarkComet RAT'in (uzaktan erişim Truva programı) bir versiyonu idi. Bu kötü amaçlı yazılım, kurbanın makinesinde bir arka kapı açar, uzak bir komut ve kontrol sunucusu ile iletişim kurar ve Windows güvenlik duvarı politikalarını değiştirir.

DarkComet RAT, hedefe yönelik, APT stili, geçmişte yapılan saldırılar, Suriye hükümeti ülkedeki siyasi aktivistleri gözetlemek için. Trend Micro'nun varyantı hakkında ilginç olan, AutoIt'te yazılmış ve çok düşük bir antivirüs algılama oranına sahip olmasıdır.

Sofistike kötü amaçlı yazılım geliştirmek için kodlama dilleri kullanımı yaygın bir uygulama değildir, çünkü bu dillerin çoğu bir tercüman gerektirir. Makineye yüklenmek veya çok büyük tek başına çalıştırılabilir dosyalar üretmek için, Botezatu dedi.

Ancak, istisnalar olmuştur. Örneğin, Flame cyberespionage malware, antivirüs ürünleri tarafından algılanmadan bazı görevleri otomatikleştirmek için LUA betik dilini kullandı, Botezatu dedi.

AutoIt son derece sezgisel ve kullanımı kolay, modern Windows'da kutudan çıkan derlenmiş ikili dosyaları üretiyor Bitdefender araştırmacıları, sürümleri ve iyi belgelenmiş olduğunu söyledi. Ayrıca, Web'de yeniden kullanmak için çok sayıda kötü amaçlı AutoIt kodu var, dedi.

“En önemlisi, AutoIt'te oluşturulan kötü amaçlı yazılım son derece esnek ve kolayca gizlenebiliyor, bu da tek bir malware türünün yazılı olduğu anlamına geliyor. AutoIt'te, algılamayı önlemek ve raf ömrünü uzatmak için bir çok yolla yeniden ambalajlanabilir ve yeniden üretilebilir. ”dedi. Botezatu.

AutoIt gibi betik dilleri popülerlik kazanmaya devam ettikçe, daha fazla yazılım geliştiricisinin bunlara doğru ilerlemesi bekleniyor. Wilhoit dedi. “Kullanım kolaylığı ve öğrenmenin yanı sıra, popüler dropitlere kolayca kod yazabilme yeteneği, araçlarını ve kötü amaçlı yazılımlarını yayma konusundaki haksız niyetleri olan aktörler için büyük bir fırsat yaratıyor.”