Come viene distribuito il malware all'interno dei file zip?

22

Recentemente sembra che sia stato inviato un grande numero di file zip a persone con un file .js contenente codice che scarica ed esegue cryptoware.

Come viene eseguito il file .js? Gli utenti devono eseguire il file javascript stesso dopo averlo estratto o è in qualche modo possibile eseguire il file javascript durante l'estrazione? Sono piuttosto confuso su come questo causa così tante infezioni.

    
posta Austin 28.03.2016 - 23:59
fonte

4 risposte

25

Ti ricordi "Ti amo" ?

La curiosità umana spesso fa il trucco, annullare l'archiviazione dello zip e quindi eseguire il JS (tramite l'host di scripting di Windows che non segue le stesse restrizioni del motore JS di un browser)

Ci sono più che abbastanza persone che vogliono essere sicure di non perdere un pagamento e saranno presto tagliate fuori dal loro telefono cellulare.

Una fondamentale inconsapevolezza di come funziona l'email è un altro fattore importante qui:

The email comes from Tom! And he says I should have a look. Tom always shares funny images on facebook, let's see!

Completamente inconsapevole dello spoofing del mittente della posta elettronica (che non dovrebbe essere un problema con DKIM, SPF, S / MIME e PGP in giro, ma questa è un'altra storia), quegli utenti si fidano solo del mittente e aprono i file.

INORITE? Ma questa è solo la curiosità umana in bundle con la fatale mancanza di conoscenza.

    
risposta data 29.03.2016 - 01:36
fonte
15

Lo stesso utente che fa clic sul file ZIP per estrarre il file JS fa anche clic sul file JS.

Questo avvierà Windows Script Host per eseguire lo script (viene eseguito sia JScript (JS e JSE) sia VBScript (VBS e VBE)). Gli script eseguiti da WSH non sono in modalità sandbox nel modo in cui si troverebbero in un browser.

Avviare un JS in questo modo equivale praticamente all'avvio di un EXE.

    
risposta data 29.03.2016 - 01:28
fonte
10

Windows Script Host è una tecnologia di automazione che fornisce capacità di scripting. È indipendente dalla lingua in quanto può utilizzare diversi motori linguistici di Active Scripting.

Per impostazione predefinita, Windows interpreta e esegue JScript ( .js e .jse file) e VBScript ( .vbs e .vbe file).

Facendo clic su un file .js si renderà wscript.exe a interpretarlo e lo script può fare qualsiasi cosa. Ad esempio, questo calcola:

var shell = WScript.CreateObject("WScript.Shell");
shell.Run("calc");

Ci sono stati metodi o vulnerabilità che hanno permesso l'esecuzione automatica senza (direttamente) l'apertura del file dannoso, come il dirottamento della DLL e il sideloading. Ma, per quanto ne so, non esiste un nuovo metodo o vulnerabilità sfruttata attivamente in natura. Un tale metodo sarebbe molto efficace nel diffondere malware e riceverebbe rapidamente un avviso pubblico.

    
risposta data 29.03.2016 - 11:45
fonte
0

IIRC non puoi rendere i file auto-eseguibili facilmente (potrebbero esserci modi, ma la maggior parte di questi attacchi non si basa su di essi).

Le persone molto disinformate (la maggior parte degli utenti di pc) non hanno problemi a fare clic sui file anche se di solito, e facendo ciò con un file .js, nella maggior parte dei PC (a meno che non siano sufficientemente bloccati) li eseguono nel Windows JS RE predefinito.

    
risposta data 29.03.2016 - 09:59
fonte

Leggi altre domande sui tag