La herramienta PowerShell de Microsoftque se implementa en su sistema operativo, Windows, supone una potente función especialmente indicada para los usuarios más avanzados del sistema.
Lo cierto es que la compañía de Redmondestá, poco a poco, convirtiendo la función PowerShell en el sustituto de lo que anteriormente conocíamos el Símbolo del Sistema de Windows, es decir, en el shell por defecto utilizado por los usuarios. Sin embargo recientemente algunos expertos en seguridad han estado detectando que los ciberdelincuentes también están utilizando esta misma funcionalidad cada vez de manera más extendida para propagar malware.
Este es un estudio que ha llevado a cabo la conocida empresa de seguridad informática, Symantec, estudio por medio del cual ha estado analizando los scripts maliciosos de PowerShell y donde ha podido confirmar que el número de amenazas está creciendo a un ritmo muy acelerado, especialmente en el caso de las empresas donde el shell es ampliamente utilizado. De hecho la firma de seguridad afirma que la mayoría de los scripts maliciosos de PowerShell se están utilizando a modo de descargas, incluidas las macros de Microsoft Office, cuyo objetivo final evidentemente es ejecutar el código malicioso en un determinado PC para luego distribuir el malware en toda la red local donde está ubicado.
De este modo han podido comprobar que hay un total de tres familias principales de malware que se están extendiendo a través de los scripts de PowerShell en Windows estos últimos días. Se trata del malware W97M.Downloader, Trojan.Kotver y JS.Downloader. La propia firma especializada en seguridad dice que “a lo largo de los últimos seis meses bloqueamos un promedio de 466.028 correos electrónicos con JavaScript malicioso al día, y además esta peligrosa tendencia está creciendo. No todos los archivos JavaScript maliciosos utilizan PowerShell para descargar archivos, pero hemos podido detectar un importante y constante aumento en el uso del mismo para estos fines“.
Aprovechado estas vulnerabilidades, los ciberdelincuentes también están creando scripts de PowerShell cada vez más complejos que funcionan en diferentes etapas, por lo que en lugar de comprometer directamente y de una sola vez el PC de destino, en realidad están vinculados a una secuencia de comandos diferentes que eventualmente van implementando el malware. Con esto se evita que ciertas soluciones de seguridad y aplicaciones de proteccióninstaladas en la víctima detecten el ataque, incluso en algunos casos se pueden desarrollar scripts para desinstalar estas soluciones de seguridad o robar contraseñas utilizadas en la red local.
Desde Symantec advierten que la mejor manera de protegerse contra este tipo de amenazas es disponer de un software de seguridad completamente actualizado, así como la última versión de PowerShell. Además, probado el hecho de que la mayoría de las secuencias de comandos de este tipo se envían por correo electrónico, es preferible evitar abrir archivos o enlaces procedentes de fuentes no fiables.
Fuente:https://www.adslzone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
