RETADUP蠕蟲病毒現新變種 熱鍵腳本語言AHK再被利用

在本月初，惡意軟體研究技術網站Bleeping Computer曾發文稱，在2003年為微軟Windows操作系統開發的開源熱鍵腳本語言AutoHotKey（AHK）正在越來越受惡意軟體開發者的歡迎，並表現出會成為惡意軟體開發主流語言的趨勢。

儘管擁有數十年惡意軟體研究經驗的安全專家Vesselin Bontchev認為，AHK並不會超越其他開發語言成為開發惡意軟體的首選語言，但趨勢科技在本周一用他們的最新發現告訴我們，的確已經有越來越多的基於AHK語言的惡意軟體開始出現。

趨勢科技在本周一發表的博文中表示，他們發現了RETADUP蠕蟲病毒的一個最新版本（由趨勢科技檢測為WORM_RETADUP.G）。雖然之前的版本（WORM_RETADUP.A和WORM_RETADUP.D）都是利用AutoIt編碼的，但這個新版本的編碼的確已經切換成了利用AHK。

RETADUP蠕蟲是一款利用快捷方式（LNK）文件發起攻擊的惡意軟體，趨勢科技在2017年針對以色列醫院的攻擊活動中發現了該蠕蟲。在當時，RETADUP蠕蟲（WORM_RETADUP.A）主要充當了信息竊取者，通過與被稱為「GhostCtrl」 Android 後門程序實現蠕蟲式自我傳播、信息竊取（包括系統信息、瀏覽器信息及通過鍵盤輸入的信息）以及發動釣魚攻擊。

在之後的版本（WORM_RETADUP.D）中，RETADUP的開發者進行了一個很大的調整。儘管仍利用AutoIt編碼並保留了利用LNK文件來發起攻擊以及蠕蟲式自我傳播的特性，但這個新的版本的確已經正式成為了一個加密貨幣礦工的載入器。

至於上面提到的這個最新的版本（WORM_RETADUP.G），它在傳播技術、逃避檢測以及安裝加密貨幣礦工的技術與WORM_RETADUP.D有很大的相似之處。但在利用開發語言方面出現了重大轉變，即開始利用AHK。

WORM_RETADUP.G仍然使用LNK文件作為其主要啟動程序，不過它需要使用AHK解釋器來運行惡意腳本，所以如果受感染設備並沒有安裝AHK，它會在初始感染後下載AHK。

此外，它還會創建定期執行的任務以實現持久性和特權提升，並通過進程名識別受感染設備上是否存在由AutoIt版本RETADUP載入的加密貨幣礦工。如果存在，則新的礦工進程便不會被執行。

WORM_RETADUP.G使用的加密貨幣礦工組件仍包含利用AutoIt編譯的腳本，其中包含嵌入式二進位文件（注入器模塊的一種形式），該文件將直接注入內存（notepad.exe進程）中。在二進位文件內部是一個打包的XMRIG組件和一個XMRIG配置文件，後者將被放入受感染系統的％APPDATA％文件夾中。此外，加密貨幣礦工組件現在已經切換使用私人門羅幣採礦池。

如同其他安全專家的觀點一樣，趨勢科技也認為，由於AHK是惡意軟體領域的新成員，所以目前缺乏可以幫助分析基於AHK開發的惡意軟體的已知工具，這或許也是RETADUP開發者選擇利用這種開發語言的原因之一。儘管WORM_RETADUP.G的一些組件仍然基於AutoIt，但由於存在這種多態性，可能使得它能夠繞過目前大多數安全產品的檢測。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！