Вредонос-вымогатель, написанный на языке Windows PowerShell, обитает в макросах для Word

Программа, написанная на языке Windows PowerShell, уже атаковала крупные организации, в том числе и медицинские. PowerShell — основа автоматизации и управления конфигурациями Windows, инструмент, использующийся обычно системными администраторами. Он имеет свой собственный язык сценариев, который уже не раз использовался для создания сложных вредоносных программ.

Новая программ-вымогатель, получившая название PowerWare, была обнаружена исследователями из охранной фирмы Carbon Black и распространяется среди жертв с помощью фишинговых писем, содержащих документы Word с вредоносным макросом. Такой способ распространения в последнее время применяется все чаще и чаще.

Команда Carbon Black нашла PowerWare, когда та уже почти достигла очередной своей жертвы: неназванной организации здравоохранения. Жертвами этой атаки уже стали несколько больниц до нее.

Приходящие на почту документы прикидывались счетами. При открытии они просили разрешение на редактирование и доступ к данным, утверждая, что это нужно для просмота. В действительности же доступ к редактированию отключает предварительный просмотр и позволяет запускать макросы (по умолчанию эта возмжность отключена).

Если вредоносному коду разрешить запуститься, он открывает командную строку Windows (cmd.exe) и запускает два экземпляра PowerShell (powershell.exe). Первый экземпляр загружает собствено PowerWare с удаленного сервера, а второй — выполняет скрипт.

После этого все происходит по традиционному для вирусов сценарию. Скрипт генерирует ключ шифрования; использует его для шифрования файлов с определенными расширениями, включая документы, картинки, видео, архивы и файлы исходного кода; отправляет ключ на сервер злоумышленников и генерирует записку с требованием выкупа в виде HTML-файла.

Чтобы скрыть местонахождение своего сервера, хакеры используют сеть Tor. Стоимость лечения сначала составляла 500$, но за пару недель хакеры подняли планку до 1000$.

PowerWare — не первая реализация программы-вымогателя на PowerShell. Исследователи из команды Sophos обнаружили подобный еще в 2013 году — он, кстати, написан русскоязычными хакерами. Еще один был найден в 2015. он использовал логотип Los Pollos Hermanos из телесериала «Во все тяжкие».

Сама идея использования PowerShell во вредоносных целях не нова, но всплеск начался буквально несколько месяцев назад, и, вероятно, вычислять такие программы будет сложнее из-за популярности PowerShell, особенно в корпоративной среде.