PowerShell становится популярным инструментом распространения вредоносного ПО

Оболочка Microsoft PowerShell является мощным инструментом для опытных пользователей и профессионалов на операционной системе Windows. В последних сборках Windows 10 разработчики сделали её оболочкой по умолчанию, однако эксперты по информационной безопасности говорят, что и киберпреступники также используют её всё чаще.

Компания Symantec проанализировала вредоносные скрипты PowerShell и сообщает, что число угроз растёт быстрыми темпами, особенно это относится к предприятиям, где данный фреймворк широко используется. Большинство скриптов PowerShell применяют с целью выполнять код на компьютере и распространять вредоносные скрипты по сети.

Есть три популярных семейства вредоносных приложений, распространяющихся посредством скриптов PowerShell: W97M.Downloader (9,4% из рассмотренных примеров), Trojan.Kotver (4,5%) и Downloader (4%). За последние шесть месяцев Symantec блокировала в среднем по 466028 писем с вредоносным кодом JavaScript в день и это число растёт. Не все файлы JavaScript используют PowerShell для скачивания файлов, но популярность фреймворка у хакеров увеличивается.

Создаются всё более сложные скрипты PowerShell, способные работать в несколько этапов. Вместо взлома компьютера напрямую они запускают другие скрипты, которые занимаются распространением вредоносных приложений. Это позволяет обойти определённые меры защиты, некоторые скрипты могут даже удалять антивирусные программы и красть пароли.

Специалисты рекомендуют пользоваться последними версиями приложений и последней версией PowerShell. Поскольку большинство скриптов распространяются по электронной почте, не следует открывать вложенные файлы и переходить по ссылкам в письмах от неизвестных адресатов.