基于Autohotkey的密码窃取器正在针对美国和加拿大的银行发起攻击
AutoHotkey 是一款免费的、Windows平台下开放源代码的热键脚本语言。 研究人员发现黑客正在传播一种用AutoHotkey (AHK)脚本语言编写的新证书窃取器,这是自2020年初开始的一项持续活动的一部分。 美国和加拿大的金融机构客户是此次攻击的主要目标,特别是针对银行,如丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、第一资本银行、宏利人寿和EQ银行,目的就是窃取用户的银行卡号和密码,另外还包括一家印度银行:印度工业信贷投资银行。 AutoHotkey是一种面向Microsoft Windows的开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动化重复的任务。 多阶段感染链开始于一个嵌入了Visual Basic for Applications (VBA) AutoOpen宏的带有恶意软件的Excel文件,该文件随后被用来通过合法的可移植AHK脚本编译器可执行文件(“adb.exe”)删除和执行下载程序客户端脚本(“adb.ahk”)。 下载程序客户端脚本还负责实现持久性,分析受害者,并从位于美国、荷兰和瑞典...
