Recientemente, parece que ha habido un gran brote de archivos zip que se envían por correo electrónico a personas con un archivo .js que contiene código que descarga y ejecuta cryptoware.
¿Cómo se ejecuta realmente el .js? ¿Los usuarios deben ejecutar el archivo javascript después de extraerlo o es posible hacer que el archivo javascript se ejecute al extraerlo? Estoy bastante confundido sobre cómo esto causa tantas infecciones.
¿Recuerdas "Te amo" ?
La curiosidad humana a menudo hace el truco, desarchivando el zip y luego ejecutando el JS (a través del host de scripting de Windows que no sigue las mismas restricciones que un motor JS de los navegadores)
Hay más que suficientes personas que quieren estar seguras de que no se hayan perdido un pago y que pronto se les corte el teléfono móvil.
Otro desconocimiento fundamental de cómo funciona el correo electrónico es otro factor importante aquí:
El correo electrónico viene de Tom! Y él dice que debería echar un vistazo. Tom siempre comparte imágenes divertidas en Facebook, veamos!
Sin darse cuenta de la falsificación del remitente del correo electrónico (que no debería ser un problema con DKIM, SPF, S / MIME y PGP, pero esa es otra historia), esos usuarios solo confían en el remitente y abren los archivos.
¿INORITE? Pero eso es solo curiosidad humana con una falta de conocimiento fatal.
El mismo usuario que hace clic en el archivo ZIP para extraer el archivo JS también hace clic en el archivo JS.
Esto lanzará el Windows Script Host para ejecutar el script (ejecuta JScript (JS y JSE) y VBScript (VBS y VBE)). Los scripts ejecutados por WSH no se encuentran en un espacio aislado en la forma en que estarían en un navegador.
Lanzar un JS de esta manera es casi lo mismo que lanzar un EXE.
Windows Script Host es una tecnología de automatización que proporciona capacidades de scripting. Es independiente del idioma, ya que puede hacer uso de diferentes motores de lenguaje Active Scripting.
De manera predeterminada, Windows interpreta y ejecuta JScript (archivos .js y .jse ) y VBScript (% co_de archivos% y .vbs ).
Al hacer clic en un archivo .vbe , .js lo interpretará y el script puede hacer cualquier cosa. Por ejemplo, este pops up calc:
var shell = WScript.CreateObject("WScript.Shell");
shell.Run("calc");
Ha habido métodos o vulnerabilidades que permitieron la ejecución automática sin (directamente) abrir el archivo malicioso, como el secuestro de archivos DLL y la descarga de datos. Pero, que yo sepa, no hay un nuevo método o vulnerabilidad que se explote activamente en la naturaleza. Dicho método sería muy eficaz para propagar malware y rápidamente se haría público.
IIRC no puedes hacer que los archivos se ejecuten automáticamente (puede haber formas, pero la mayoría de estos ataques no dependen de ellos).
Las personas muy desinformadas (la mayoría de los usuarios de PC) no tienen problemas para hacer clic en los archivos, pero hacerlo con un archivo .js en la mayoría de los PC (a menos que estén lo suficientemente bloqueados) los ejecutará en el Windows JS RE predeterminado.