Les cybercriminels utilisent des malwares basés sur PowerShell
Les cybercriminels ont mis au point des logiciels malveillants de plus en plus sophistiqués qui utilisent des scripts Windows PowerShell afin d'éviter d'être repéré.
Pour rappel, Windows PowerShell est une ligne de commande et un environnement de scripting, ayant pour but de simplifier la vie des administrateurs en permettant l'automatisation de tâches via ces scripts. Il est installé par défaut depuis Windows 7 mais est également disponible sous Windows XP en installation un package à part.
L'abus de la puissance de Windows PowerShell à des fins malveillantes n'est pas nouveau, mais ces derniers temps il semble que certains développeurs de malwares s'y intéressent très sérieusement. D'ailleurs, les chercheurs en sécurité de Symantec et Trend Micro ont déjà trouvé certaines de ces menaces.
Un nouveau script PowerShell malveillant a été identifié, détecté comme Backdoor par Symantec. Roberto Sponchioni, chercheur en sécurité chez Symantec précise d'ailleurs que les Trojans "sont capables d'injecter du code malveillant dans rundll32.exe afin qu'il puisse se cacher sur l'ordinateur tout en exécutant et en agissant comme une backdoor".
A l'exécution, le script compile et exécute du code malicieux qu'il embarque. Le code compilé injecte une couche de code malicieux dans le processus système rundll32, dans le but de rendre la détection plus difficile. Une fois le processus infecté, le malware établit une connexion avec un serveur distant et attend que des instructions lui soit transmises, pour ensuite les exécuter de façon discrète, précise Roberto Sponchioni.
Fin Mars, les chercheurs en sécurité de chez Trend Micro alertaient à propos de différentes attaques qui utilisaient des scripts PowerShell connus sous le nom CRIGENT ou Power Worm.
CRIGENT se présentait sous la forme d'un document Word ou Excel malicieux, cela téléchargeait des composants additionnels à l'ouverture, notamment Tor et Polipo Web Proxy.
"Un script PowerShell (détecté comme VBS_CRIGENT.LK ou VBS_CRIGENT.SM) est téléchargé, qui comprend tout le code nécessaire pour mener à bien le comportement malveillant de CRIGENT", précise les chercheurs de chez Trend Micro.
Une routine est également intégrée au script afin d'infecter des documents Word et Excel "propres", dans le but de faciliter la propagation de l'attaque.
D'après Symantec, les "utilisateurs doivent éviter d'exécuter des scripts PowerShell inconnus et, ne doivent pas baisser les paramètres d'exécution par défaut de PowerShell afin d'éviter l'exécution potentielle de scripts malveillants"
En ce qui concerne la gestion de l'exécution des scripts, consultez ce tutoriel :
Autoriser/Refuser l'exécution de scripts PowerShell
