En avril 2015, j'avais posté l'article Malware par VBS / WSH puisque certaines campagnes d'emails utilisaient déjà des VBS ou JavaScript. C'était notamment le cas en février 2015 du scareware/rogue : Malware Defender 2015. Puis, plus régulièrement des campagnes Dridex à travers des macros Office : Campagnes de courriels piégés avec Word/Excel malicieux.
Les choses se sont accélérées fin 2015, avec des campagnes TeslaCrypt puis celles de Locky fin février 2016 avec des zip contenant du JavaScript.
Aujourd'hui, j'ai reçu un courriel malicieux en langue espagnol, provenant probablement de pirates brésiliens, très actifs ( j'en parlais sur la page Business malwares : le Pourquoi des infections ).
La détection du script VBS :
SHA256: ce0a9a3e09a25828d294ea01ffe7ba9dc1b8c99041846dc23d1d76a10dbd48f7
Ratio de détection : 10 / 57
Date d'analyse : 2016-03-13 10:35:51 UTC (il y a 11 heures, 15 minutes)
Antivirus Résultat Mise à jour
Cyren VBS/Banload.G2!Camelot 20160313
DrWeb VBS.DownLoader.540 20160313
ESET-NOD32 VBS/Obfuscated.G 20160313
Fortinet VBS/Obfuscated.G!tr 20160313
Kaspersky Trojan-Downloader.VBS.Agent.bhq 20160313
McAfee VBS/Downloader.br 20160313
McAfee-GW-Edition VBS/Downloader.br 20160313
Microsoft TrojanDownloader:VBS/Banload 20160313
NANO-Antivirus Trojan.Script.Obfuscated.eaxvjz 20160313
Sophos Troj/VBS-JJ 20160313
Dans une entrée de son blog, McAfee a posté un exemple d'un kit qui permet de créer ces scripts. L'outil Trillium Toolkit Leads to Widespread Malware permet aux attaquants de générer des fichiers piégés, par exemple de créer des *.chm,*.wsf, *.vbs, *.vbe, *.hta, *.htm, *.html, *.bat, *.cmd, *.ps1, *.psc1, *.exe, *.pif, *.scr, *.com, *.url, *.lnk qui permettent de télécharger et d'exécuter un malware sur le Windows de la victime.
Ce dernier n'est vendu que 300$ dans le milieu underground :
Pour aller plus loin, un phénomène qui va monter, les malwares dits 'FileLess', c'est à dire qui utilisent pas ou peu de fichiers sur le disque.
Prévention contre les scripts malicieux
Désactiver Windows Script Host est un bon début,