Se ha identificado un nuevo ladrón de credenciales que está escrito en lenguaje de secuencias de comandos AutoHotkey (AHK). En una campaña de ataque en curso que comenzó a principios de 2020, se descubrió que los actores de amenazas estaban distribuyendo este infostealer, enfocándose en clientes de organizaciones financieras.
El infostealer se centra específicamente en la exfiltración de credenciales y se ha dirigido a varios bancos.
- La cadena de infección de múltiples etapas comienza con el uso de un archivo de Excel con malware cargado con una macro VBA AutoOpen. Posteriormente, suelta / ejecuta un script de cliente de descarga utilizando un ejecutable compilador de script AHK portátil.
- Este script de cliente también se utiliza para perfilar víctimas, persistencia y descargar y ejecutar más scripts AHK desde servidores de comando y control ubicados en Suecia, los Países Bajos y los EE. UU.
- En la etapa final, el ladrón recopila y descifra los requisitos del sistema de los navegadores y envía esta información al servidor C&C en un texto simple mediante una solicitud HTTP Post.
Información adicional
- Lo que es único acerca de este ladrón es que en lugar de obtener u obtener instrucciones del servidor C&C, este ladrón descarga y ejecuta scripts AHK para realizar varios trabajos. Evita que las partes principales del malware se expongan públicamente.
- Al hacerlo, un atacante puede agregar un script personalizado para un tipo diferente de trabajo para cada persona o grupo de clientes, lo que les permite controlar el malware.
El uso del lenguaje de secuencias de comandos permite a los ciberdelincuentes ocultar su intención de las cajas de arena, lo que hace que los ataques sean más sofisticados y mortíferos. Por lo tanto, los expertos sugieren que las organizaciones brinden capacitación a sus empleados sobre los riesgos asociados con un archivo adjunto de correo electrónico con macros. Además, se recomienda utilizar un software anti-malware confiable y mantenerse alerta al abrir correos electrónicos de remitentes desconocidos.