黑客正在分发一种新的以AutoHotkey（AHK）脚本语言编写的凭据窃取程序，这是自2020年初开始的攻击活动的一部分。

美国和加拿大银行用户是黑客的主要目标，特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。

AutoHotkey是Microsoft Windows的一种开源自定义脚本语言，旨在为宏创建和软件自动化提供简单的热键，允许用户在任何Windows应用程序中自动执行重复的任务。

多阶段感染链始于一个嵌入了Visual Basic for Applications（VBA）AutoOpen宏的带有恶意软件的Excel文件，该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。

下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。

该恶意软件下载并执行AHK脚本以完成不同的任务，而不是直接从C&C服务器接收命令。

Trend Micro的研究人员表示：“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露，特别是向其他研究人员或沙盒披露。”

其中最主要的是针对各种浏览器（比如Google Chrome、Opera、Microsoft Edge等）的凭证窃取程序。一旦安装，窃取程序会尝试在受感染的机器上下载SQLite模块（“sqlite3.dll”），使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。

最后，窃取程序从浏览器收集并解密凭证，并通过HTTP POST请求以明文形式将信息导出到C&C服务器。

恶意软件组件“在代码级别上组织得很好”，其中包含的使用说明（用俄语编写）可能意味着攻击链的背后存在一个“雇佣黑客”组织。

研究人员总结：“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言，加载恶意组件并频繁更改C&C服务器，黑客就能隐藏其恶意意图。”

消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ”