使用AutoHotkey和Excel中嵌入的恶意脚本来绕过检测

Trend Micro研究人员发现一个使用合法脚本引擎AutoHotkey和恶意脚本文件的攻击活动。该文件以邮件附件的形式传播，并伪装成合法文件Military Financing.xlsm。用户需要启用宏来完全打开文件，使用AutoHotkey来加载恶意脚本文件以绕过检测。然后恶意软件会窃取特定的信息，甚至下载TeamViewer来获取对系统的远程访问权限。如果用户启用宏来打开xlsm文件，就会合法的脚本引擎AutoHotkey和恶意脚本文件。一旦AutoHotkey加载恶意脚本文件，恶意软件就会连接到C2服务器来下载和执行其他脚本文件来响应来自服务器的命令。研究人员发现恶意软件最后会下载和执行TeamViewer来获取系统的远程访问权限。会根据来自C2服务器的命令来下载和执行其他脚本文件。图1. 攻击链Excel文件附件excel文件 ………………………………