Scripting AutoIt semakin sering digunakan oleh pengembang malware

AutoIt, bahasa scripting untuk mengotomatisasi interaksi antarmuka Windows, semakin sering digunakan oleh pengembang malware berkat fleksibilitas dan rendahnya kurva pembelajaran, menurut para peneliti keamanan dari Trend Micro and Bitdefender.

"Baru-baru ini, kami telah melihat peningkatan jumlah kode alat AutoIt jahat yang diunggah ke Pastebin," Kyle Wilhoit, seorang peneliti ancaman di vendor antivirus Trend Micro, mengatakan pada hari Senin di sebuah posting blog. “Salah satu alat yang biasa terlihat, misalnya, adalah keylogger. Meraih kode ini, siapa pun dengan niat jahat dapat dengan cepat mengkompilasi dan menjalankannya dalam hitungan detik. "

" Selain alat yang ditemukan di situs seperti Pastebin dan Pastie, kami juga melihat peningkatan luar biasa dalam jumlah malware memanfaatkan AutoIt sebagai bahasa scripting, ”kata Wilhoit.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Penggunaan AutoIt dalam pengembangan malware terus meningkat sejak 2008, Bogdan Botezatu, seorang senior e- analis ancaman di vendor antivirus Bitdefender mengatakan Selasa melalui email. Jumlah sampel malware yang dikodekan dalam AutoIt baru-baru ini mencapai lebih dari 20.000 per bulan, katanya.

"Pada masa awalnya, malware AutoIt kebanyakan digunakan untuk penipuan iklan atau untuk membuat mekanisme propagasi otomatis untuk IM [pesan instan] cacing, ”kata Botezatu. "Saat ini, malware AutoIt berkisar dari ransomware hingga aplikasi akses jarak jauh."

Salah satu malware yang sangat canggih yang ditemukan oleh AutoIt berbasis malware baru-baru ini adalah versi dari DarkComet RAT (program akses remote Trojan), kata Wilhoit. Malware ini membuka backdoor pada mesin korban, berkomunikasi dengan perintah remote dan server kontrol dan memodifikasi kebijakan firewall Windows, katanya.

The DarkComet RAT telah digunakan dalam serangan yang ditargetkan, gaya APT, di masa lalu, termasuk oleh pemerintah Suriah untuk memata-matai aktivis politik di negara ini. Yang menarik dari varian yang ditemukan oleh Trend Micro adalah bahwa ini ditulis dalam AutoIt dan memiliki tingkat deteksi antivirus yang sangat rendah.

Penggunaan bahasa scripting untuk mengembangkan malware canggih bukanlah praktik yang tersebar luas, karena sebagian besar bahasa ini membutuhkan juru bahasa untuk dipasang di mesin atau menghasilkan file yang dapat dieksekusi sendiri yang sangat besar, Botezatu berkata.

Namun, ada pengecualian. Misalnya, malware Cyberpersonage Api menggunakan bahasa skrip LUA untuk mengotomatiskan beberapa tugas tanpa terdeteksi oleh produk antivirus, Botezatu berkata.

AutoIt sangat intuitif dan mudah digunakan, menghasilkan binari terkompilasi yang kehabisan kotak pada Windows modern versi dan didokumentasikan dengan baik, kata peneliti Bitdefender. Juga, sudah ada banyak kode AutoIt berbahaya yang tersedia di Web untuk digunakan kembali, katanya.

"Yang paling penting, malware yang dibuat di AutoIt sangat fleksibel dan dapat dengan mudah dikaburkan, yang berarti bahwa satu generasi malware yang ditulis di AutoIt dapat dikemas ulang dan dibuat ulang dalam sejumlah cara untuk mencegah deteksi dan memperpanjang umur simpannya, "kata Botezatu.

Karena bahasa scripting seperti AutoIt terus mendapatkan popularitas, lebih banyak pengembang malware diharapkan untuk bermigrasi ke arah mereka, Kata Wilhoit. “Kemudahan penggunaan dan pembelajaran, serta kemampuan memposting kode dengan mudah ke dropplace populer menjadikan ini kesempatan bagus bagi para aktor yang memiliki niat jahat untuk menyebarkan alat dan malware mereka.”