ทีมงาน X-Force Research ของ IBM รายงานว่า แฮ็กเกอร์ที่โจมตีธนาคารของบราซิลนั้น ใช้ทูลเขียนสคริปต์บนวินโดวส์ที่ชื่อ AutoIt เพื่อติดตั้งโทรจันแบบเข้าถึงจากระยะไกลหรือ RAT เพื่อแฮ็กเซสชั่นหน้าอีแบงกิ้งผ่านบราวเซอร์ ซึ่งช่วยให้หลบการตรวจจับของแอนติไวรัสได้ด้วยการให้ AutoIt คอมไพล์โค้ดแล้วรันต่อเนื่องในรูปของโปรเซสเฟรมเวิร์กของ AutoIt เอง
AutoIt นี้ถือเป็นทูลสำหรับแอดมินแบบฟรีแวร์สำหรับใช้รันโปรเซสจัดการระบบแบบอัตโนมัติผ่านสคริปต์ ซึ่งการใช้ AutoIt รันโค้ดนี้ทำให้แอนติไวรัสไม่สามารถนำ Hash มาเทียบกับซิกเนเจอร์ที่ตัวเองมีอยู่ในฐานข้อมูลได้ โดยการโจมตีดังกล่าวนั้น โทรจันแบบ RAT นี้จะคอยจับตาดูชื่อไตเติ้ลของหน้าจอบราวเซอร์
ซึ่งเมื่อจับได้ว่ากำลังเข้าหน้าจออีแบงกิ้ง โทรจันก็จะขึ้นภาพหรือเว็บไซต์อื่นเต็มหน้าจอไม่ให้เหยื่อเข้าถึงหน้าเว็บจริงของธนาคารได้ ขณะที่แฮ็กเกอร์ก็อาศัยจังหวะนี้ในการเข้าจัดการผ่านระบบอีแบงกิ้งบนเว็บธนาคารที่เหยื่อได้ล็อกอินเข้าระบบเรียบร้อยแล้ว
นอกจากนี้ แฮ็กเกอร์ที่ควบคุม RAT นี้อยู่อาจขึ้นหน้าจอหลอกเพื่อให้เหยื่อกรอกข้อมูลเพิ่มเติมที่จำเป็นสำหรับการทำธุรกรรม เช่น OTP ด้วย ถือว่าบราซิลเป็นแหล่งฝึกซ้อมชั้นเยี่ยมเหล่าแฮ็กเกอร์ที่โจมตีโดยใช้มัลแวร์สร้างหน้าจอหลอกบังของจริงแบบนี้ อย่างเช่น มัลแวร์ที่ชื่อ Client Maximus ที่เคยสร้างวีรกรรมลักษณะเดียวกันมาก่อนหน้า เป็นต้น
ที่มา : https://threatpost.com/autoit-scripting-used-by-overlay-malware-to-bypass-av-detection/128845/
