Windows PowerShell é usado por cibercriminosos para mascarar ataques

Cibercriminosos cada vez mais têm desenvolvido códigos maliciosos sofisticados que fazem uso dos scripts Windows PowerShell, em uma tentativa de passar despercebido pelo radar de detecção do sistema.

O Windows PowerShell é um shell de linha de comando e linguagem de script, projetado para automatizar tarefas de administração do sistema e de aplicativos. Ele é instalado por padrão no Windows 7 e versões posteriores – versões mais antigas do Windows PowerShell estão disponíveis para Windows XP em um pacote à parte.

O uso malicioso do Windows PowerShell não é algo novo, mas parece que ele tem chamado a atenção de alguns desenvolvedores de malware – pesquisadores da Symantec e da Trend Micro recentemente identificaram novas e sofisticadas ameaças que utilizavam a ferramenta.

Um recentemente identificado script PowerShell malicioso, o qual a Symantec chamou de Backdoor.Trojan, “possui diferentes níveis de ofuscação e tem a capacidade de injetar um código dentro do ‘rundll32.exe’ para que possa se esconder no computador enquanto continua a rodar e agir como um backdoor”, disse o pesquisador em segurança da Symantec, Roberto Sponchioni, em um post no blog da empresa.

Quando executado, o script compila e executa um código malicioso incorporado nele. Em seguida, o código compilado injeta mais códigos maliciosos no rundll32, um processo do sistema, na tentativa de dificultar a sua detecção.

O código arbitrário no rundll32 se conecta a um servidor remoto e aguarda por instruções, que são, então, executadas de forma furtiva, explica Sponchioni.

No final de março, pesquisadores de segurança da empresa de antivírus Trend Micro alertaram sobre uma ameaça diferente que também usa scripts PowerShell e é conhecida como CRIGENT ou Power Worm.

A máquina é infectada pelo CRIGENT por meio de documentos maliciosos do Word ou Excel, entregues por outro malware e faz o download de componentes adicionais quando aberto, incluindo o software de anonimato Tor e o webproxy Polipo.

“Um script PowerShell (identificado como VBS_CRIGENT.LK or VBS_CRIGENT.SM) é baixado e inclui todos os códigos necessários para realizar o comportamento malicioso do CRIGENT”, afirmaram os pesquisadores da Trend Micro no blog da empresa.

O script também contém rotinas para infectar documentos limpos de Word e Excel com o código malicioso do CRIGENT, fazendo com que a ameaça se autopropague na máquina (também conhecido como worm).

O uso combinado do Tor, do Polipo e do PowerShell junto com serviços de armazenamento em cloud identificados nesse malware ressalta o fato de que cibercriminosos querem usar recursos legítimos em seus ataques, disseram os pesquisadores.

“Os usuários devem evitar executar scripts PowerShell desconhecidos e não permitir a as configurações de execução padrão na tentativa de evitar scripts maliciosos em potencial de serem executados”, disseram os pesquisadores da Symantec.