det0332-detection-strategy-for-autohotkey-autoit-abuse

# DET0332 — Detection Strategy for AutoHotKey & AutoIT Abuse ## Descrição Esta estratégia detecta o abuso de AutoHotKey (AHK) e AutoIT — ferramentas legítimas de automação de tarefas Windows — para execução de código malicioso, evasão de controles de aplicação e automação de ataques. A técnica [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] via AutoHotKey e AutoIT é comum pois esses interpretadores são frequentemente permitidos por whitelists e raramente monitorados. Adversários empacotam scripts AHK/AutoIT como executáveis autônomos (usando o compilador nativo) ou executam scripts .ahk/.au3 diretamente via os interpretadores. Os scripts podem realizar captura de teclado, automação de interface gráfica, download de payloads e injeção de código em outros processos. Trojans bancários brasileiros como Javali e Mekotio historicamente abusam de AutoIT. A detecção deve cobrir tanto a execução de `AutoHotkey.exe` e `AutoIt3.exe` com scripts suspeitos quanto executáveis compilados que embarcam o runtime AHK/AutoIT internamente — identificáveis por strings características no binário. ## Indicadores de Detecção - `AutoHotkey.exe` ou `AutoIt3.exe` executando scripts de diretórios temporários ou de download - Executáveis compilados com strings de runtime AHK/AutoIT (`This is a compiled script`, `AutoIt3 Script`) gerando conexões de rede - Scripts .ahk/.au3 com funções de rede (`URLDownloadToFile`, `InetRead`) ou execução de processo (`Run`, `Shell`) - `AutoHotkey.exe` gerando processos filhos incomuns (powershell.exe, cmd.exe) - Uso de funções de injeção AutoIT (`DllCall`, `MemoryFuncCall`) para interagir com APIs do sistema - Scripts AHK com captura de teclas (`InstallKeybdHook`, `HotKey`) em contextos não-administrativos ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — técnica primária - [[T1027.002-software-packing]] — empacotamento de scripts AHK/AutoIT em executáveis - [[T1056.001-keylogging]] — captura de teclado via AutoHotKey - [[t1055-process-injection|T1055-process-injection]] — injeção de código via DllCall do AutoIT - [[t1218-system-binary-proxy-execution|T1218-system-binary-proxy-execution]] — proxy de execução usando interpretadores legítimos ## Analytics Relacionadas - [[an0942-analytic-0942|AN0942 — Analytic 0942]] --- *Fonte: [MITRE ATT&CK — DET0332](https://attack.mitre.org/detectionstrategies/DET0332)*