it-swarm.com.de

Wie wird Malware in Zip-Dateien verteilt?

Vor kurzem gab es anscheinend einen großen Ausbruch von Zip-Dateien, die per E-Mail an Personen mit einer .js-Datei gesendet wurden, die Code enthält, der Cryptoware herunterlädt und ausführt.

Wie wird die .js tatsächlich ausgeführt? Müssen Benutzer die Javascript-Datei nach dem Extrahieren selbst ausführen oder ist es irgendwie möglich, die Javascript-Datei beim Extrahieren ausführen zu lassen? Ich bin ziemlich verwirrt darüber, wie dies so viele Infektionen verursacht.

22
Austin

Erinnerst du dich an "Ich liebe dich" ?

Menschliche Neugier macht oft den Trick, die Archivierung der Zip-Datei aufzuheben und dann die JS auszuführen (über den Windows-Skript-Host, der nicht den gleichen Einschränkungen wie eine JS-Engine eines Browsers folgt).

Es gibt mehr als genug Leute, die sicher sein wollen, dass sie keine Zahlung verpasst haben und bald von ihrem Handy abgeschnitten werden.

Eine grundlegende Unkenntnis der Funktionsweise von E-Mails ist hier ein weiterer wichtiger Faktor:

Die E-Mail kommt von Tom! Und er sagt, ich sollte mal schauen. Tom teilt immer lustige Bilder auf Facebook, mal sehen!

Diese Benutzer sind sich des Spoofing von E-Mail-Absendern überhaupt nicht bewusst (was bei DKIM, SPF, S/MIME und PGP kein Problem sein sollte, aber das ist eine andere Geschichte). Sie vertrauen einfach dem Absender und öffnen die Dateien.

INORITE? Aber das ist nur menschliche Neugier, verbunden mit fatalem Mangel an Wissen.

25
Tobi Nary

Der gleiche Benutzer, der auf die Zip-Datei klickt, um die JS-Datei zu extrahieren, klickt auch auf die JS-Datei.

Dadurch wird Windows Script Host gestartet, um das Skript auszuführen (es führt sowohl JScript (JS und JSE) als auch VBScript (VBS und VBE) aus). Die von WSH ausgeführten Skripte sind nicht wie in einem Browser in einer Sandbox gespeichert.

Das Starten eines JS auf diese Weise entspricht weitgehend dem Starten einer EXE.

15
tlund

Windows Script Host ist eine Automatisierungstechnologie, die Skriptfunktionen bietet. Es ist sprachunabhängig, da es verschiedene Active Scripting-Sprachmodule verwenden kann.

Standardmäßig interpretiert und führt Windows JScript (.js und .jse Dateien) und VBScript (.vbs und .vbe Dateien).

Klicken Sie auf ein .js Datei macht wscript.exe interpretiere es und das Skript kann alles. Dies öffnet zum Beispiel calc:

var Shell = WScript.CreateObject("WScript.Shell");
Shell.Run("calc");

Es gab Methoden oder Schwachstellen, die eine automatische Ausführung ermöglichten, ohne die schädliche Datei (direkt) zu öffnen, wie DLL Hijacking und Sideloading). Meines Wissens gibt es jedoch keine neue Methode oder Schwachstelle, die aktiv ausgenutzt wird Eine solche Methode wäre sehr effektiv bei der Verbreitung von Malware und würde schnell in der Öffentlichkeit bekannt werden.

10
Cristian Dobre

IIRC Sie können die Dateien nicht einfach automatisch ausführen lassen (Es kann Möglichkeiten geben, aber die meisten dieser Angriffe beruhen nicht auf ihnen).

Sehr uninformierte Personen (die Mehrheit der PC-Benutzer) haben jedoch normalerweise keine Probleme beim Klicken auf Dateien. Wenn Sie dies mit einer .js-Datei tun, werden sie auf den meisten PCs (sofern nicht ausreichend gesperrt) im Standard-Windows JS RE ausgeführt.

0
Magisch