Comment les logiciels malveillants sont-ils distribués dans les fichiers Zip?
Récemment, il semble qu'il y ait eu une grande épidémie de fichiers Zip envoyés par courrier électronique aux personnes avec un fichier .js contenant du code qui télécharge et exécute le cryptoware.
Comment le fichier .js est-il réellement exécuté? Les utilisateurs doivent-ils exécuter le fichier javascript lui-même après l'avoir extrait ou est-il possible de faire exécuter le fichier javascript lors de l'extraction? Je suis plutôt confus sur la façon dont cela provoque autant d'infections.
Vous souvenez-vous "Je t'aime" ?
La curiosité humaine fait souvent l'affaire, désarchivant le Zip puis exécutant le JS (via l'hôte de scriptage Windows qui ne suit pas les mêmes restrictions qu'un moteur JS de navigateur)
Il y a plus qu'assez de gens qui veulent être sûrs qu'ils n'ont pas raté un paiement et qu'ils vont bientôt couper leur téléphone portable.
Une méconnaissance fondamentale du fonctionnement du courrier électronique est un autre grand facteur ici:
L'e-mail vient de Tom! Et il dit que je devrais y jeter un œil. Tom partage toujours des images amusantes sur Facebook, voyons!
Ignorant complètement l'usurpation de l'expéditeur du courrier électronique (ce qui ne devrait pas être un problème avec DKIM, SPF, S/MIME et PGP, mais c'est une autre histoire), ces utilisateurs font simplement confiance à l'expéditeur et ouvrent les fichiers.
INORITE? Mais ce n'est que de la curiosité humaine liée à un manque de connaissances fatal.
Le même utilisateur qui clique sur le fichier Zip pour extraire le fichier JS clique également sur le fichier JS.
Cela lancera Windows Script Host pour exécuter le script (il exécute à la fois JScript (JS et JSE) et VBScript (VBS et VBE)). Les scripts exécutés par WSH ne sont pas mis en sandbox comme ils le seraient dans un navigateur.
Le lancement d'un JS de cette manière est à peu près la même chose que le lancement d'un EXE.
L'hôte de script Windows est une technologie d'automatisation qui offre des capacités de script. Il est indépendant du langage car il peut utiliser différents moteurs de langage Active Scripting.
Par défaut, Windows interprète et exécute JScript (.js et .jse fichiers) et VBScript (.vbs et .vbe des dossiers).
Cliquer sur un .js le fichier fera wscript.exe l'interpréter et le script peut tout faire. Par exemple, cela apparaît calc:
var Shell = WScript.CreateObject("WScript.Shell");
Shell.Run("calc");
Il y a eu des méthodes ou des vulnérabilités qui ont permis l'exécution automatique sans ouvrir (directement) le fichier malveillant, comme DLL détournement et chargement latéral. Mais, à ma connaissance, il n'y a pas de nouvelle méthode ou vulnérabilité activement exploitée dans Une telle méthode serait très efficace pour propager des logiciels malveillants et serait rapidement portée à la connaissance du public.
IIRC vous ne pouvez pas faire exécuter automatiquement les fichiers (il peut y avoir des moyens, mais la plupart de ces attaques ne dépendent pas d'eux).
Les personnes très peu informées (la majorité des utilisateurs de PC) n'ont généralement aucun problème à cliquer sur les fichiers, et le faire avec un fichier .js sur la plupart des ordinateurs (sauf si suffisamment verrouillé) les exécutera dans Windows JS RE par défaut.