Windows PowerShell - действительно мощный инструмент для системных администраторов и опытных пользователей ПК. Недавно Редмонд решил сделать PowerShell основной оболочкой командной строки в операционной системе Windows 10, но согласно исследованиям безопасности, данный инструмент активно используется киберперступниками для распространения вредоносных программ.
Антивирусная компания Symantec провела тщательный анализ вредоносных скриптов PowerShell и сообщила, что количество данного типа угроз стремительно растет. Особенно это актуально для корпоративных сред, где интерфейс командной строки широко используется.
Symantec информирует, что самые опасные скрипты PowerShell используются в качестве загрузок основных вредоносных модулей, включая макросы Office и вредоносные файлы, исполняющийся на компьютере и затем распространяющийся по всей сети.
Скрипты пытаются отключить механизмы защиты
Согласно отчету Symantec, существует три основных семейства вредоносных программ, которые распространяются с помощью PowerShell. Они называются W97M.Downloader (9,4% проанализированных образцов), Trojan.Kotver (4.5%) и JS.Downloader (4.0%).
Компания сообщает: “За последние 6 месяцев мы заблокировали в среднем 466 028 электронных писем с вредоносным JavaScript кодом в день, и их количество непрерывно растет. Не все скрипты JavaScript используются для загрузки файлов, но было зафиксировано устойчивой рост сценариев применения оболочки”.
Киберпреступники стали создавать более сложные скрипты PowerShell, которые работают в несколько этапов. Вместо прямого взлома целевого компьютера, они ссылаются на другой скрипт, который непосредственно развертывает вредоносные программы. Эта техника позволяет обойти некоторые антивирусные решения и приложения для дополнительной защиты. В некоторых случаях скрипты разработаны для отключения защиты и кражи паролей во всей сети.
Самым эффективным способом защиты от данного типа угроз является использование своевременно обновленной антивирусной защиты и новейшей версии PowerShell. Кроме того, учитывая, что большинство скриптов распространяются через электронные сообщения, то следует избегать запуска скриптов, открытия файлов и ссылок от неизвестных источников, которые могут представлять риск для вашей системы или сети.
По материалам Softpedia
Угрозы безопасности
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub
• Нарушена работа опасного ботнета BadBox: под угрозой полмиллиона Android-устройств
• Microsoft удалила два популярных расширения VSCode с 9 миллионами установок из-за угроз безопасности