Пакет VBScript с троянами Drops Zloader, Ursnif, Qakbot, Dridex

Команда Morphisec Labs отслеживает запутанный пакет VBScript в кампаниях с марта 2020 года. Первоначально вредоносная кампания была ориентирована на цели в Германии, но с тех пор перешла к дополнительным целям – исключая любые IP-адреса в России и Северной Корее.

Эти VBscripts начались в марте с доставки Zloader и с тех пор превратились в механизм доставки таких троянов, как Ursnif, Qakbot и Dridex.

Опасность заключается в том, что интерпретатор VBScript поставляется предварительно загруженным в каждую операционную систему Windows и работает с Windows 98. Интерпретируемым языкам, таким как VBScript, Javascript (или любому текстовому скрипту), всегда будет сложно сканировать, чтобы определить, является ли код вредоносным или нет. Причина этого заключается в том, что существует бесконечное количество возможностей для представления одной и той же команды или результата.

Кампания, которую отслеживает Morphisec Labs, начинается с архивного файла VBScript, прикрепленного к электронному письму.

Электронное письмо, которое получает получатель, содержит вложение в виде ZIP, являющееся счетом, с указанием суммы транзакции, даты и номера транзакции. Как и в большинстве электронных писем с ложными счетами, цель заключается в том, что жертва не будет уделять пристальное внимание электронной почте.

Внутри вложенного zip-файла находится файл сценария Visual Basic с низкой частотой обнаружения. VBScript использует несколько методов, чтобы обойти песочницы и сделать анализ довольно сложным. В нем много мусорных переменных, комментариев, функций-приманок, и все вредоносные функции запутаны.

В случае каких-либо проблем VBScript выдает ложное сообщение об ошибке, удаляет сценарий и завершает работу. В случае удачи он создает новый ярлык, чтобы пометить зараженную машину новой кампанией.