AutoHotky(AHK)は、Windows用のオープンソースのスクリプト言語です。
サイトは、https://autohotkey.com/です。
元々は、キーボードのショートカット、高速マクロの作成、およびソフトウェアの自動化が行えるインタープリタのスクリプト言語です。
その機能は拡張されて、Windowsイベントフックをセットアップし、VBScript / JScriptを注入し、DLLを他のプロセスのメモリに注入することもできます。
この機能に着目したマルウェアの作成者達は、アンチウイルスソフトの警告に引っかかることなくマルウェアを動作させました。
この実例として、「Evrial」というトロイの木馬は、クリップボードを特定のテキストで監視して検出された場合には別のものに変更することができます。他にもブラウザのCookieと資格情報を盗むことができます。これは仮想通貨のアドレスを犯人側のアドレス置き換えることができるので、仮想通貨の窃盗技術です。このEvrialは、ダークウェブ上で1500ルーブルまたは27ドルで販売されています。
Evrialは、Bitcoin、Litecoin、Monero、WebMoney、Qiwiアドレス、ゲームのSteamアイテムの取引のURLに対応する文字列を検出するように設定されています。
現在Evrialの配布方法がわかっていません。メールの添付ファイルを開く時にはウイルススキャンをして開くなどの対策になります。
AutoHotky(AHK)を利用したマルウェアは、日増しに増えており複雑化しています。AHKは、PythonやPowerShell、VBScriptなどの最新のスクリプト言語に比べて機能が劣っていますが、ユーザーインターフェイスの点で優れています。
Cybereason社は無料のツールahk-dumperをリリースしました。
ただ、このツールは守る側だけでなく攻撃側にとっても有効なツールとなりえてしまいます。
当社では最新のウイルス駆除に対応しています。お困りの方はご相談ください。
