Оболочка Microsoft PowerShell становится популярным инструментом для киберпреступников.


Microsoft PowerShell

Согласно анализу компании Symantec количество вредоносных скриптов растет быстрыми темпами, особенно это касается различных предприятий, где PowerShell используется довольно широко. Большинство скриптов фреймворка используют целью выполнять код на компьютере и распространять вредоносные скрипты по сети.

Существует три популярных семейства вредоносных приложений, которые распространяются с помощью скриптов PowerShell: W97M.Downloader (9,4% из рассмотренных примеров), Trojan.Kotver (4,5%) и Downloader (4%). За последние полгода Symantec блокировала примерно 466028 писем с вредоносным кодом JavaScript в день и эта цифра постоянно растет. Не все файлы JavaScript используют именно PowerShell для скачивания файлов, но в последнее время все чаще именно оболочка Microsoft становится популярной у хакеров.

Киберприступники создают все более сложные скрипты, которые работают в несколько этапов. Они не взламывают компьютер напрямую, а запускают другие скрипты, а те, в свою очередь, начинают распространять вирусы. Такой способ позволяет обойти некоторые инструменты защиты, некоторые скрипты могут удалять антивирусы и красть различные пароли.

Специалисты рекомендуют использовать последнюю версию PowerShell. Большинство скриптов распространяется через почту, поэтому не стоит переходить по различным ссылкам от неизвестных адресатов и открывать вложенные файлы.

Система Orphus