Studiuesit në SafeBreach Labs kanë zbuluar një derë të pasme të PowerShell deri tani të padokumentuar dhe të vështirë për t’u zbuluar, e përdorur për të synuar të paktën 100 viktima. Bazuar në funksionalitetin e tij, malware sigurisht që është shfrytëzuar për të kryer sulme kibernetike spiunazhi, veçanërisht me qëllimin e ekfiltrimit të të dhënave konfidenciale nga sistemet e komprometuara. Për fat të mirë, shumë zgjidhje sigurie mund të ndalojnë kërcënimin.
Spiunazh kibernetik me backdoor PowerShell
Zinxhiri i infeksionit fillimisht përfshin një sulm phishing me shtizë kundër objektivave specifike të identifikuara në LinkedIn. Viktimat kontaktohen me email me një ofertë të supozuar pune. Shtojca Apply Form.docm fsheh një makro që shkarkon dhe ekzekuton skriptin updater.vbs. Më pas krijohet një detyrë e planifikuar që simulon një përditësim të Windows.
Skripti VBS më pas krijon dy skripta PowerShell, Script.ps1 dhe Temp.ps1, të cilat kopjohen në direktorinë AppData %% \ Local \ Microsoft \ Windows \ Update. Script.ps1 lidhet me serverin C2, nga i cili merr komanda të koduara me AES-256 CBC, të cilat më pas deshifrohen nga Temp.ps1.
Shumica e komandave ju lejojnë të nxjerrni të dhëna nga kompjuterët, ndërsa të tjerët mbledhin informacione të ndryshme ose fshijnë skedarë. Në kohën e zbulimit, dera e pasme nuk u zbulua nga asnjë antivirus. Tani shumica e zgjidhjeve të sigurisë bllokojnë dokumentin Word, makro VBS dhe dy skriptet PowerShell. Prandaj është e nevojshme të instaloni të gjitha përditësimet e disponueshme.
Discussion about this post