Una herramienta útil para muchos usuarios pero que también ha cobrado importancia para los ciberdelincuentes. En los últimos meses hemos asistido a un aumento de su uso por parte de estos, vaticinando que de cara a los inicios del próximo año esta cifra sea mayor. Los expertos en seguridad confirman esta tendencia y añaden que la PowerShell se los sistemas operativos Windows se utiliza para distribuir malware entre los usuarios.
Indican que sobre todo permite la descarga del instalador de la amenaza y que esto es muy común si hablamos de equipos a nivel industrial y empresarial, donde la información que se puede ver afectada es más elevada y posee mayor importancia. Las últimas infecciones detectadas (incluyendo las macros de Office) consisten en la descarga del ejecutable que llevará a cabo su instalación en el sistema para posteriormente distribuirse a otros equipos haciendo uso de la red de área local existente.
Aunque es probable que en algún momento hayas oído hablar de alguna o de todas ellas, nosotros vamos a repasar cuáles son las tres familias predominantes hoy en día:
- W97M.Downloader
- Trojan.Kotver
- JS.Downloader
Con un 10%, un 5% y un 4% respectivamente, estas amenazas son las que copan las infecciones de los últimos meses. Se tratan de archivos JavaScript que necesitan de la PowerShell del sistema operativo de los de Redmond para proseguir con la hoja de ruta marcada.
Pero este no es el único problema al que deben hacer frente los usuarios.
Scripts PowerShell divididos en etapas
Teniendo en cuenta que la utilización de este componente de Windows abre un importante abanico de posibilidades, justificado sobre todo por la ejecución de esta como administrador, los ciberdelincuentes plantean las nuevas amenazas como etapas que se llevan a cabo en función del entorno en el que se ejecute. Esto quiere decir que una vez se ha procedido con la descarga del archivo JavaScript que se encargará a su vez de descargar el instalador de la amenaza u otros scripts. Esto responde a la existencia de herramientas de seguridad instaladas en los equipos. En algunas ocasiones se trata de llevar a cabo la desinstalación de estas antes de ejecutar el instalador, buscando que la amenaza pase desapercibida.
¿Cómo protegerme de este tipo de amenazas?
En primer lugar, es necesario mantener nuestro sistema operativo actualizado, al igual que un antivirus instalado y en ejecución. Respecto a la vía de difusión de este tipo de script, conviene indicar que la inmensa mayoría se distribuyen haciendo uso de correos electrónicos, de ahí que sea necesario tomar ciertas precauciones a la hora de descargar archivos adjuntos.