“Recentemente, vimos um aumento na quantidade de códigos maliciosos da ferramenta AutoIt sendo carregados no Pastebin”, disse Kyle Wilhoit, pesquisador de ameaças do fornecedor de antivírus Trend Micro, em um post no blog. “Uma ferramenta comumente vista, por exemplo, é um keylogger. Agarrando este código, qualquer pessoa com más intenções pode rapidamente compilá-lo e executá-lo em questão de segundos. ”

[Leia mais: Como remover malware do seu PC com Windows]

O uso do AutoIt no desenvolvimento de malware aumentou de forma constante desde 2008, Bogdan Botezatu, O analista de ameaças do fornecedor de antivírus Bitdefender disse terça-feira via e-mail. O número de amostras de malware codificadas no AutoIt atingiu recentemente mais de 20.000 por mês, disse ele.

“Em seus primeiros dias, o malware AutoIt era usado principalmente para fraudes de publicidade ou para criar mecanismos de autopropagação para mensagens instantâneas.] vermes ”, disse Botezatu. “Hoje em dia, o malware AutoIt varia de ransomware a aplicativos de acesso remoto.”

Uma peça particularmente sofisticada de malware baseado em AutoIt descoberta recentemente foi uma versão do DarkComet RAT (programa de Trojan de acesso remoto), disse Wilhoit. Esse malware abre um backdoor na máquina da vítima, comunica-se com um comando e servidor de controle remotos e modifica as políticas de firewall do Windows.

O DarkComet RAT foi usado em ataques direcionados no estilo APT no passado, inclusive por o governo sírio para espionar ativistas políticos no país. O interessante sobre a variante encontrada pela Trend Micro é que ela está escrita em AutoIt e tem uma taxa muito baixa de detecção de antivírus.

O uso de linguagens de script para desenvolver malwares sofisticados não é uma prática difundida, porque a maioria desses idiomas exige um intérprete. para ser instalado na máquina ou produzir arquivos executáveis ​​independentes muito grandes, disse Botezatu.

No entanto, tem havido exceções. Por exemplo, o malware Flame cyberespionage usou a linguagem de script LUA para automatizar algumas tarefas sem ser detectado por produtos antivírus, disse Botezatu.

AutoIt é extremamente intuitivo e fácil de usar, produz binários compilados que são executados fora do padrão no Windows moderno. versões e está bem documentado, disse o pesquisador da Bitdefender. Além disso, já existe um monte de código malicioso AutoIt disponível na Web para reutilização, disse ele.

“Mais importante, o malware criado no AutoIt é extremamente flexível e pode ser facilmente ofuscado, o que significa que uma única espécie de malware foi escrita. O AutoIt pode ser reempacotado e re-criado de várias maneiras para impedir a detecção e estender sua vida útil ”, disse Botezatu.

Como linguagens de script como o AutoIt continuam ganhando popularidade, mais desenvolvedores de malware devem migrar em direção a eles, Wilhoit disse. “A facilidade de uso e aprendizado, bem como a capacidade de postar códigos facilmente em sites populares, tornam esta uma ótima oportunidade para atores com intenções nefastas de propagar suas ferramentas e malware.”