Visual Basic (VB) - это язык программирования, изначально разработанный компанией Microsoft на основе языка BASIC. Известный своим удобством и простотой, VB завоевал популярность как средство разработки приложений и автоматизации процессов. Его способность взаимодействовать с различными технологиями, такими как Component Object Model (COM) и Native API, делает его ценным инструментом для злоумышленников, позволяя им выполнять код на целевых системах.
Помимо основного языка Visual Basic, злоумышленники также используют для создания сценариев родственные языки, производные от него, а именно Visual Basic for Applications (VBA) и VBScript (Microsoft Visual Basic Scripting Edition).
Интерпретаторы командной строки и сценариев: Visual Basic
VBA представляет собой реализацию языка программирования VB, обеспечивающую автоматизацию процессов, доступ к функциям Windows API и другие низкоуровневые возможности с помощью библиотек динамических связей (DLL). VBA встроен в большинство приложений Microsoft Office, включая Microsoft Excel, Microsoft Word и Microsoft PowerPoint. Кроме того, он доступен на платформе macOS, позволяя пользователям автоматизировать задачи и разрабатывать пользовательские приложения в программах Office.
VBScript, с другой стороны, является производной от языка программирования VB, позволяя пользователям манипулировать различными аспектами системы с помощью COM. Изначально созданный для веб-разработчиков, VBScript является инструментом для создания сценариев для веб-клиентов в Internet Explorer и веб-серверов в Internet Information Services (IIS).
Использование Visual Basic злоумышленниками
Будучи компетентным и универсальным инструментом, Visual Basic в полной мере используется злоумышленниками для вредоносной деятельности.
Загрузка, перегрузка и выполнение вредоносных полезных нагрузок
Visual Basic может быть использован для загрузки, загрузки и выполнения вредоносной полезной нагрузки путем встраивания вредоносных скриптов или кода в макросы VBScript или VBA. Эти скрипты используют встроенные функции, такие как XMLHTTP или WinHTTP, для получения полезной нагрузки с удаленных серверов и ее выполнения с помощью таких команд, как Shell или CreateObject. В отчетах по кибербезопасности за 2024 год отмечалось широкое распространение Visual Basic и его производных, включая VBA и VBScript, среди злоумышленников для развертывания вредоносного кода на целевых системах.
Кампания Void Banshee
В июле 2024 года исследователи безопасности сообщили о кампании Void Banshee, направленной на пользователей Windows через уязвимость, идентифицированную как CVE-2024-38112. Цепочка атак включала использование вредоносного файла HTML-приложения (HTA), содержащего сценарий VBScript. Этот скрипт расшифровывал XOR-зашифрованное содержимое и выполнял его с помощью PowerShell, облегчая загрузку и выполнение дополнительных вредоносных скриптов со скомпрометированных веб-серверов.
Кампания CoralRaider
В апреле 2024 года другой исследователь раскрыл кампанию CoralRaider, целью которой были данные жертв и их аккаунты в социальных сетях. Злоумышленники использовали вредоносный VBScript, встроенный в HTA-файл. Этот VBScript выполнял в памяти встроенный скрипт PowerShell, который последовательно запускал дополнительные скрипты для выполнения проверок антивиртуальных машин и антианализа, обхода контроля доступа пользователей, отключения уведомлений Windows и приложений и, в конечном итоге, загрузки и выполнения вредоносной программы RotBot.
Кампания Water Hydra
Последний пример относится к февралю 2024 года. Исследователи проанализировали кампанию Water Hydra, которая использовала уязвимость (CVE-2024-21412) для обхода Microsoft Defender SmartScreen. Конечной полезной нагрузкой этой атаки был RAT, известный как DarkMe, написанный на Visual Basic. Эта вредоносная программа связывалась со своим командно-контрольным сервером с помощью пользовательского протокола по TCP, демонстрируя изощренное использование Visual Basic для выполнения вредоносных операций.
Эти случаи подчеркивают постоянную угрозу, которую представляют собой злоумышленники, использующие Visual Basic и его скриптовые варианты для выполнения вредоносного кода и получения несанкционированного доступа к целевым системам.