Язык сценариев AutoHotKey (AHK) становится все более популярным у авторов вредоносных программ. Эксперты в сфере информационной безопасности отмечают рост количества зловредов, которые написаны при помощи этого инструмента.

AHK — это сценарный язык с открытым кодом для среды Windows. Он разработан на базе свободно распространяемого инструментария AutoIt и позволяет создавать макросы, автоматизирующие рутинные задачи.

Несмотря на название, AutoHotKey позволяет не только переназначать сочетания клавиш, но и взаимодействовать с файлами, открывать и закрывать другие программы, а также выполнять повторяющиеся операции в их среде. Написанный на этом языке скрипт можно скомпилировать в EXE-файл и запускать на любом компьютере. Синтаксис относительно прост и не требует от автора макроса высокой квалификации.

AHK давно взяли на вооружение создатели эймботов — читерских утилит, которые автоматически наводят оружие на врага в компьютерных шутерах. Однако в последнее время исследователям стали встречаться уже не столь безобидные скрипты.

Первые образцы вредоносных программ с использованием AutoHotKey были замечены компанией Ixia в конце февраля. Специалисты обнаружили на компьютерах пользователей нелегальные майнеры и скрипт для кражи данных из буфера обмена.

Чуть позже другая команда экспертов по информационной безопасности сообщила о зловреде, названном Fauxpersky. Свое имя скрипт получил за попытку имитировать антивирусную программу «Лаборатории Касперского». По словам специалистов, вредоносный макрос выглядит не очень убедительно — автор даже не потрудился сменить стандартную иконку AHK. Однако, возможно, это лишь первые ласточки намечающегося тренда.

Как отмечают исследователи из Ixia, каждый день им встречаются новые образцы зловредов, созданных при помощи AutoHotKey. Среди отловленных экземпляров — программы для подмены банковских счетов, дропперы и клавиатурные шпионы. Немаловажно, что макросы становятся все более и более сложными: самые продвинутые авторы применяют разнообразные технологии обфускации (запутывания кода), чтобы усложнить обнаружение программы.

Рост популярности AHK среди создателей зловредов может стать головной болью для производителей антивирусного ПО. Исходный код языка открыт, а значит, любой злоумышленник способен создать свой вариант AutoHotKey, и итоговые скрипты не будут детектироваться специализированным софтом.

Пока молодой язык уступает функциональностью другим средствам создания макросов, таким как Python, PowerShell или VBScript, поэтому его будущее как платформы для разработки незаконного ПО остается под вопросом. Все будет зависеть от версии 2.0, которая сейчас находится на стадии тестирования.

Однако в целом зловреды на базе сценарных языков становятся реальной угрозой. Атаки, в основе которых лежат вредоносные скрипты, регистрируются почти каждую неделю. В начале года ботнет PyCryptoMiner заработал более $60 тыс. при помощи программы, написанной на Python. В феврале исследователи наблюдали сложную кампанию по краже данных пользователя, в которой были использованы макросы VBScript. В марте бесфайловая утилита DNSMessenger использовала сетевой трафик для выполнения PowerShell-запросов на зараженном устройстве.

Категории: Аналитика, Вредоносные программы, Главное