O PowerWare foi totalmente escrito na linguagem do Windows PowerShell.
Um novo programa de ransomware está a ser usado em ataques contra organizações e explora o Windows PowerShell, advertem investigadores da Carbon Black. Potenciais alvo incluem empresas, mas também instituições de saúde.
O novo código nocivo é uma estrutura de automação de tarefas e gestão de configurações incluída no Windows, sendo vulgarmente usada por administradores de sistemas. Tem a sua própria linguagem de “script” que é poderosa e tem sido usada para criar malwares sofisticados no passado.
O novo programa de ransomware, denominado PowerWare é distribuído às vítimas em acções de phishing usando emails contendo documentos de Word com macros maliciosas. Trata-se de uma técnica de ataque cada vez mais comum.
A equipa da Carbon Black descobriu o PowerWare quando este atingiu um dos seus clientes: uma organização de saúde, cujo nome não foi revelado. Vários hospitais têm sido recentemente vítimas de ataques de ransomware.
Os documentos de Word nocivos surgem como facturas falsificadas, segundo os investigadores. Quando são abertos, instruem os utilizadores para activarem as funcionalidades de edição e conteúdo do programa Word, alegando que elas são necessárias para visualizar os ficheiros.
Quando é permitido que o código de macro malicioso seja executado, abre-se a linha de comando do Windows (cmd.exe) e são lançadas duas instâncias do PowerShell (powershell.exe)
Permitir a edição desactiva o repositório de pré-visualização e do Microsoft Word e faculta a execução do código de macro incorporado, que o Office bloqueia por definição.
Quando é permitido que o código de macro malicioso seja executado, abre-se a linha de comando do Windows (cmd.exe) e são lançadas duas instâncias do PowerShell (powershell.exe). Uma faz o download do ransomware a partir de um servidor remoto, na forma de um “script” e a outra instância executa o último.