Nuova campagna malware si diffonde attraverso script WSF

 

Proto: N020716. 

Con la presente Yoroi desidera comunicarLe che negli ultimi giorni si sta sviluppando un nuovo sistema di diffusione malware che utilizza Windows Script File (WSF). È noto che Zepto, l’ultima variante del Ransomware Locky, utilizza questo tipo di vettore di attacco.
I Windows Script File sono script interpretati dall’utility Microsoft Windows Script Host (WSH) e sono utilizzati tipicamente per automatizzare alcune operazioni. WSH può eseguire file VBScript (file con estensione .vb e .vbe) e JScript/WScript (file con estensione .js e .jse) ma supporta diversi motori di Scripting (Rexx, BASIC, Perl, Ruby, Tcl, PHP, JavaScript, Delphi, Python, XSLT ed altri linguaggi) che possono essere installati sul sistema. Utilizzando l’estensione .wsf è possibile inserire parti di script scritte in linguaggi differenti all’interno dello stesso file.

Come già avvenuto nel mese di maggio con i file .hta gran parte dei sistemi di rilevamento esistenti non sono ancora in grado di riconoscere questo tipo di minaccia, per questo motivo è importante intraprendere velocemente contromisure che permettano di prevenire infezioni perpetrate attraverso questa nuova metodologia.
La soluzione più semplice ed efficace consiste nel modificare il programma predefinito destinato alla gestione dei file con estensione .wsf. Normalmente questi vengono aperti dal browser Internet Explorer, impostando come applicazione predefinita Blocco Note si evita l’interpretazione ed esecuzione del codice malevolo.

Yoroi consiglia pertanto di utilizzare la seguente procedura di mitigazione:
Procedura manuale per singola macchina:

  1. Cliccare sul pulsante Start
  2. Digitare “Programmi predefiniti”
  3. Cliccare sull’opzione “Programmi predefiniti”
  4. Cliccare sull’opzione “Associa un tipo di file o un protocollo a un programma”
  5. Ricercare e selezionare nella lista la riga dell’estensione “.wsf”:
  6. Cliccare il pulsante “Cambia programma…”
  7. Selezionare “Blocco Note” dalla lista, se non è disponibile cliccare sul pulsante “Sfoglia…” e ricercare l’applicazione notepad nella cartella “C:Windows” come mostrato nell’immagine:
  8. Cliccare sul pulsante “Apri”
  9. Cliccare sul pulsante “Ok”

Procedura automatica attraverso Group Policy Object su Microsoft Windows Server:

  1. Aprire Console Gestione Criteri di gruppo. Fare clic con il pulsante destro del mouse sull’oggetto Criteri di gruppo in cui dovrebbe essere contenuto il nuovo elemento preferenza, quindi fare clic su Modifica.
  2. Nell’albero della console, in Configurazione utente espandere la cartella Preferenze, quindi la cartella Impostazioni del Pannello di controllo.
  3. Fare clic con il pulsante destro del mouse sul nodo Opzioni cartella, scegliere Nuovo e selezionare Apri con.
  4. Nella finestra di dialogo Proprietà nuovo elemento Apri con selezionare un’azione da eseguire per Criteri di gruppo in Azione.
  5. Immettere le seguenti impostazioni di Apri con:
    • Azione: Sostituisci
    • Estensione di file: wsf
    • Programma associato: %windir%notepad.exe
    • Predefinita: abilitato

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).
 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index