Windows PowerShell - действительно мощный инструмент для системных администраторов и опытных пользователей ПК. Недавно Редмонд решил сделать PowerShell основной оболочкой командной строки в операционной системе Windows 10, но согласно исследованиям безопасности, данный инструмент активно используется киберперступниками для распространения вредоносных программ.
Антивирусная компания Symantec провела тщательный анализ вредоносных скриптов PowerShell и сообщила, что количество данного типа угроз стремительно растет. Особенно это актуально для корпоративных сред, где интерфейс командной строки широко используется.
Symantec информирует, что самые опасные скрипты PowerShell используются в качестве загрузок основных вредоносных модулей, включая макросы Office и вредоносные файлы, исполняющийся на компьютере и затем распространяющийся по всей сети.
Скрипты пытаются отключить механизмы защиты
Согласно отчету Symantec, существует три основных семейства вредоносных программ, которые распространяются с помощью PowerShell. Они называются W97M.Downloader (9,4% проанализированных образцов), Trojan.Kotver (4.5%) и JS.Downloader (4.0%).
Компания сообщает: “За последние 6 месяцев мы заблокировали в среднем 466 028 электронных писем с вредоносным JavaScript кодом в день, и их количество непрерывно растет. Не все скрипты JavaScript используются для загрузки файлов, но было зафиксировано устойчивой рост сценариев применения оболочки”.
Киберпреступники стали создавать более сложные скрипты PowerShell, которые работают в несколько этапов. Вместо прямого взлома целевого компьютера, они ссылаются на другой скрипт, который непосредственно развертывает вредоносные программы. Эта техника позволяет обойти некоторые антивирусные решения и приложения для дополнительной защиты. В некоторых случаях скрипты разработаны для отключения защиты и кражи паролей во всей сети.
Самым эффективным способом защиты от данного типа угроз является использование своевременно обновленной антивирусной защиты и новейшей версии PowerShell. Кроме того, учитывая, что большинство скриптов распространяются через электронные сообщения, то следует избегать запуска скриптов, открытия файлов и ссылок от неизвестных источников, которые могут представлять риск для вашей системы или сети.
По материалам Softpedia
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах