AutoIt scripting utilizado cada vez más por desarrolladores de malware

AutoIt, un lenguaje de scripting para automatizar las interacciones de la interfaz de Windows, es cada vez más utilizado por los desarrolladores de malware gracias a su flexibilidad y baja curva de aprendizaje, según los investigadores de seguridad de Trend. Micro y Bitdefender.

"Recientemente, hemos visto un aumento en la cantidad de código de la herramienta AutoIt nefasto que se carga en Pastebin", dijo Kyle Wilhoit, investigador de amenazas en el proveedor de antivirus Trend Micro, el lunes en una publicación de blog. "Una herramienta comúnmente vista, por ejemplo, es un keylogger. Al tomar este código, cualquier persona con malas intenciones puede compilarlo y ejecutarlo rápidamente en cuestión de segundos. "

" Además de las herramientas que se encuentran en sitios como Pastebin y Pastie, también estamos viendo un tremendo aumento en la cantidad de malware utilizando AutoIt como lenguaje de scripts ", dijo Wilhoit.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

El uso de AutoIt en el desarrollo de malware ha aumentado constantemente desde 2008, Bogdan Botezatu, e- el analista de amenazas en el proveedor de antivirus Bitdefender dijo el martes por correo electrónico. La cantidad de muestras de malware codificadas en AutoIt ha alcanzado recientemente un máximo de más de 20,000 por mes, dijo.

"En sus inicios, el malware AutoIt se usaba principalmente para publicitar fraudes o crear mecanismos de autopropagación para IM [mensajería instantánea]] gusanos ", dijo Botezatu. "Hoy en día, el malware AutoIt abarca desde el ransomware hasta aplicaciones de acceso remoto".

Una pieza particularmente sofisticada de malware basado en AutoIt descubierta recientemente era una versión del Darkcomet RAT (programa troyano de acceso remoto), dijo Wilhoit. Este malware abre una puerta trasera en la máquina de la víctima, se comunica con un comando remoto y controla el servidor y modifica las políticas de cortafuegos de Windows, dijo.

DarkComet RAT se utilizó en ataques dirigidos al estilo APT en el pasado, incluso por el gobierno sirio para espiar a los activistas políticos en el país. Lo interesante de la variante encontrada por Trend Micro es que está escrita en AutoIt y tiene una tasa de detección de virus muy baja.

El uso de lenguajes de scripting para desarrollar malware sofisticado no es una práctica generalizada, porque la mayoría de estos idiomas requieren un intérprete. para ser instalado en la máquina o producir archivos ejecutables autónomos muy grandes, dijo Botezatu.

Sin embargo, ha habido excepciones. Por ejemplo, el malware Flame cyberespionage utilizó el lenguaje de scripts LUA para automatizar algunas tareas sin ser detectado por productos antivirus, dijo Botezatu.

AutoIt es extremadamente intuitivo y fácil de usar, produce binarios compilados que se ejecutan en Windows moderno versiones y está bien documentado, dijo el investigador de Bitdefender. Además, ya hay muchos códigos AutoIt maliciosos disponibles en la Web para su reutilización, dijo.

"Lo más importante es que el malware creado en AutoIt es extremadamente flexible y se puede ocultar fácilmente, lo que significa que se ha escrito una sola clase de malware. En Auto, se puede volver a empaquetar y volver a diseñar de varias maneras para evitar la detección y extender su vida útil ", dijo Botezatu.

A medida que los lenguajes de script como AutoIt continúan ganando popularidad, se espera que más desarrolladores de malware migren hacia ellos, Wilhoit dijo. "La facilidad de uso y aprendizaje, así como la capacidad de publicar códigos fácilmente en sitios de distribución populares hacen de esta una gran oportunidad para los actores con intenciones nefastas de propagar sus herramientas y malware".