Morphisec Labs виявила кампанію, що використовує AutoHotKey (AHK) для доставки RAT (VjW0rm, Houdini, LimeRAT, RevengeRAT, AsyncRAT). Зловмисники застосовують складні методи обходу захисту, включаючи маніпуляції з VbsEdit, UAC-байпас та відключення антивірусів.

Як це працює? AHK-скрипт маскується під легітимну програму, скидає шкідливі файли (conhost.exe, VBS-скрипти) у %ProgramData% і виконує їх через маніфест або PowerShell зі stikked.ch. Техніки включають спам папок, блокування DNS антивірусів і вбудовану компіляцію. Кампанія адаптується, додаючи нові методи ухиляння.

Що загрожує? Викрадення даних, віддалений доступ і персистентність у системі.

Як захиститися?

-Уникайте підозрілих завантажень і скриптів.
-Перевірте систему за хешами (наприклад, 40e8b99b36739c397f8f0da2ab40f62b3af3da8b3f43fc2537841a9bf9105584).
-Використовуйте Morphisec для захисту від безфайлових атак і вразливостей пам’яті.
-Оновлюйте антивіруси та системи.

Залишайтеся пильними проти еволюціонуючих загроз!