Nuevo ransomware abusa de Windows PowerShell, utilizando las macros de Word.


El ransomware PowerWare está escrito completamente en el lenguaje scripts de Windows PowerShell



Un nuevo programa ransomware escrito en Windows PowerShell está siendo utilizado en ataques dirigidos contra las empresas, incluidas las organizaciones de atención de salud, advierten los investigadores.

PowerShell es una opción para automatización de tareas y gestión de la configuración que se incluye en Windows y es comúnmente utilizado por los administradores de sistemas. Tiene su propio lenguaje script que ya ha sido utilizado anteriormente para crear malware sofisticado.

El nuevo programa ransomware, apodado PowerWare, fue descubierto por investigadores de la empresa de seguridad Carbon Black y se distribuye a las víctimas a través de correos electrónicos de phishing que contienen documentos de Word con macros maliciosas, una técnica de ataque cada vez más común .

El equipo de Carbon Black halló PowerWare cuando era dirigido a uno de sus clientes: Una organización sanitaria sin nombre señalado. Varios hospitales han sido recientemente víctimas de ataques ransomware .

Los documentos de Word maliciosos se hacían pasar por una factura, según los investigadores de Carbon Black. Cuando se abre el documento, se instruye a los usuarios para permitir la edición del contenido de Word, afirmando que estas acciones eran necesarias para acceder a los archivos.

En realidad, lo que permite la edición es desactivar el sandboxing "vista previa" de Microsoft Word y permite la ejecución del código de macro incluido, qué office bloquea por defecto.

Si se permite que el código de macro malicioso funcione, se abre la línea de comandos de Windows (cmd.exe) y lanza dos instancias de PowerShell (powershell.exe). Descargargando el ransomware PowerWare de un servidor remoto en forma de una secuencia de comandos de PowerShell y la otra instancia ejecuta la secuencia de comandos.

Después de este punto, el proceso de infección es similar a la de otros programas ransomware: La secuencia de comandos genera una clave de cifrado; lo utiliza para cifrar archivos con extensiones específicas, incluyendo documentos, imágenes, vídeos, archivos y código fuente; envía la clave al servidor de los atacantes y genera la nota de rescate en forma de un archivo HTML.

Sobre la base de las instrucciones de pago, los atacantes utilizan la red anónima Tor para ocultar su servidor de comando y control. El rescate inicial es de $ 500, pero sube a $ 1.000 después de un par de semanas.

PowerWare no es la primera aplicación ransomware en PowerShell. Los investigadores de seguridad de Sophos encontraron un ransomware similar en lengua rusa en el 2013. Luego, en el 2015, se encontraron con otra que utiliza el logotipo de "Los Pollos Hermanos" de la serie de televisión Breaking Bad.

Mientras que el malware basado en PowerShell no es nueva, su uso se ha incrementado en los últimos meses y podría decirse que es más difícil de detectar que el malware tradicional, debido al uso legítimo y la popularidad de PowerShell, especialmente en los entornos empresariales.

Fuente: Infoworld