Oggi abbiamo ricevuto uno script vbs dannoso nella nostra casella di posta (l'allegato era un file zip contenente lo script).
Sotto puoi trovare la fonte (nota: il dominio è cambiato a causa del non voler diffondere malware, ma i parametri sono sempre gli stessi).
Dim ProxyOn, ProxyServer, ProxyOverride
Dim h, hh, s, u
Set s = CreateObject("wscript.Shell")
u = "https://example.com/?rid%3DVGX0Ipd&pad%3DAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
u = Replace(u, "%3D", "=")
On Error Resume Next
ProxyOn = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyEnable")
ProxyServer = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyServer")
Set h = CreateObject("WinHttp.WinHttpRequest.5.1")
Set hh = CreateObject("WinHttp.WinHttpRequest.5.1")
If ProxyOn = 1 Then
h.SetProxy 2, ProxyServer
End If
hh.SetProxy 1, ProxyServer
On Error Resume Next
h.Open "GET", u, False
h.SetTimeouts 10000, 10000, 10000, 10000
h.Send
If Err.Number <> 0 Then
On Error Resume Next
hh.Open "GET", u, False
hh.SetTimeouts 10000, 10000, 10000, 10000
hh.Send
End If
WScript.Sleep 2000
WScript.Echo "Installation completed."
A me sembra che non faccia molto, legge le impostazioni del proxy (per evitare il firewall?) e invia un comando GET all'URL (dannoso), ma non fa nulla con la risposta.
Certo che non abbiamo provato a correre.
Che cosa cerca di fare esattamente questo codice?
EDIT: Oggi abbiamo ricevuto conferma che questo fa parte di una campagna sulla sicurezza informatica in azienda! L'analisi nella risposta è davvero corretta.
Cordiali saluti!