Suport IT: Un nou ransomware abuzeaza de Windows PowerShell prin macro-urile din documentele Word

Share This

Ransomware-ul Powerware este scris complet in limbajul de scripting pentru Windows PowerShell.

Un nou program de ransomware creat pentru Windows PowerShell este utilizat in atacuri impotriva intreprinderilor, inclusiv impotriva spitalelor si policlinicilor, cercetatorii avertizeaza.

PowerShell este un cadru de automatizare de sarcini si de gestionare de configuratie care este inclus in Windows si este frecvent utilizat de catre administratorii de sisteme. PowerShell detine propriul limbaj de scripting, care a fost folosit pentru a crea programe malware sofisticate in si trecut.

Noul program ransomware, numit Powerware, a fost descoperit de catre cercetatorii de la firma de securitate si este distribuit victimelor prin e-mail phishing cu atasament de documente Word cu macro-uri malitioase, o tehnica din ce in ce mai comuna de atac.

Documentul Word malitios pretinde a fi o factura, iar atunci cand este deschis, acesta instruieste utilizatorii sa permita editarea continutului Word, sub pretextul ca acesta actiune este necesara pentru a vizualiza fisierul.

In realitate, permitand editarea, se dezactiveaza functia Microsoft Word de „previzualizare” a continutului si se permite executarea codului macro incorporat, care este blochat in mod normal de Office.

In cazul in care codul macro malitios este permis sa ruleze, se deschide linia de comanda pentru Windows (cmd.exe) si se lanseaza doua instante de PowerShell (powershell.exe). O instanta descarca ransomware-ul Powerware de la un server de la distanta, sub forma unui script PowerShell, iar cealalta instanta executa script-ul.

Din acest moment, rutina de infectie este similara cu cea a altor programe de ransomware: script-ul genereaza o cheie de criptare; foloseste cheia pentru a cripta fisiere cu extensii specifice, inclusiv documente, imagini, clipuri video, arhive si codul-sursa; trimite cheia catre serverul atacatorului si genereaza biletul de rascumparare sub forma unui fisier HTML.

Pe baza instructiunilor de plata, atacatorii folosesc reteaua Tor pentru a-si pastra anonimatul si pentru a ascunde serverul lor de comanda si control. Rascumpararea initiala este de 500$, dar urca pana la 1000$ dupa cateva saptamani.

Powerware nu este prima implementare ransomware in PowerShell. Cercetatorii de securitate IT au descoperit un ransomware similar in 2013 creat in limba rusa. Apoi, in 2015, au descoperit un alt program asemanator care folosea logo-ul „Los Pollos Hermanos ” din serialul TV Breaking Bad.

In timp ce malware-ul creat pentru PowerShell nu este un concept nou, utilizarea sa a crescut in ultimele luni si este, fara indoiala, mai greu de detectat ca programele malware traditionale, din cauza popularitatii PowerShell, in special in cadrul intreprinderilor.