PowerShelles un entorno de escritura de código y líneas de comandos, diseñado para automatizar tareas propias del sistema y de la administración de tareas. Está instalado por defecto en Windows7 y versiones superiores, pero también puede encontrarse como paquete independiente en sistemas Windows XP.
El ataque contra Windows PowerShell no es nuevo, pero los expertos han detectado un considerable interés de los piratas por esta funcionalidad, según los analistas de Symantec y Trend Micro, que han descubierto nuevas amenazas recientes y muy sofisticadas.
De hecho, se ha hallado una secuencia de comandos PowerShell contaminada con troyanos de puerta trasera que son capaces de inocular código infectado ‘rundll32.exe’ que se oculta en las computadoras y actúa como puerta trasera, según detalla el especialista en seguridad de Symantec, Roberto Sponchioni.
Cuando se ejecuta, este código compila y ejecuta malware incrustado en él e infecta los sistemas, sin que sea sencilla su detección, reconoce. De hecho, el malwarepermite la conexión a un servidor remoto desprevenidamente, desde donde espera instrucciones para ejecutarse posteriormente.
La firma antivirus Trend Micro descubrió el pasado mes otro tipo de ataque diferente también utilizando scripts de PowerShell, que se conoce como CRIGENT y que llega a los sistemas en documentos Word o Excel para infiltrar otro malware que descarga componentes adicionales cuando se abre. Incluso, contiene rutinas que infectan documentos limpios, con el código CRIGENT, lo que le convierte en un gusano que se autopropaga.
Ante ello, los especialistas recomiendan no ejecutar scripts desconocidos de PowerShell y reducir su ejecución por defecto para evitar la autoejecución de malware.
