PowerWare, Nuevo ransomware que emplea la interfaz PowerShell de Windows

Publicado el 29 marzo 2016 ¬ 16:53 pmh.mscComentarios desactivados en PowerWare, Nuevo ransomware que emplea la interfaz PowerShell de Windows

Siguen desarrollándose nuevas formas de ransomware: esta vez, los objetivos de los hackers son las compañías con atención especial a los hospitales. Para ello, los cibercriminales han desarrollado un ransomware escrito completamente en Windows PowerShell que emplea correos con documentos Word adjuntos.

PowerShell es una interfaz de consola que permite gestionar la configuración y automatización de tareas, normalmente utilizada por los administradores de los usuarios Windows; además, cuenta con su propio lenguaje de programación, el cual ya ha sido utilizado con anterioridad para crear sofisticados malwares.

El ransomware, descubierto por investigadores de la compañía de seguridad Carbon Black, se ha apodado PowerWare, y se sabe que se distribuye mediante phishing en emails con documentos Word: el archivo malicioso da instrucciones para que el documento de Word se abra, y más tarde exige al usuario que habilite la edición del documento para poder leerlo. Lo que los usuarios desconocen es que en realidad con esta acción se desactiva la opción de visualización de Word y permite que se ejecute el código integrado (que los programas Office bloquean por norma).

Después de este paso mortal para el dispositivo, el ransomware abre el comando de Windows (cmd.exe) y lanza dos tareas de PowerShell: una de ellas descarga el virus PowerWare desde un servidor remoto presentado como un script de PowerShell, mientras que la otra tarea lo ejecuta.

A partir de este momento, el ransomware se propaga como habitualmente, encriptando todo los archivos y exigiendo un pago por el secuestro que comienza en 500 dólares y sube a 1.000 dólares después de un par de semanas. No es el primer caso de ransomware que se aprovecha de la interfaz de Windows, ya en 2013 apareció un programa malicioso procedente de Rusia o en 2015 un ransomware que utilizaba el logo de “Los Pollos Hermanos”, de la serie de televisión Breaking Bad. Eso sí, si es la primera vez que tiene como objetivo primordial centros sanitarios.

Ver informacion original al respecto en Fuente:

http://cso.computerworld.es/alertas/nuevo-ransomware-que-emplea-la-interfaz-powershell-de-windows

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies