Skip to main content

Cyberkriminelle verwenden ausgeklügelte PowerShell-basierte Malware

Cyberkriminelle entwickeln zunehmend ausgeklügelte Malware, die mithilfe von Windows PowerShell-Skripten versucht, unter dem Radar zu bleiben.

Die Windows PowerShell ist eine Befehlszeilenshell- und Skriptumgebung zur Automatisierung von System- und Anwendungsverwaltungsaufgaben. Es ist standardmäßig in Windows 7 und höher installiert, aber alte Versionen sind auch für Windows XP als separates Paket verfügbar.

Der Missbrauch von Windows PowerShell für bösartige Zwecke ist nicht neu, aber es scheint, dass einige fähige Malware-Entwickler geworden sind In letzter Zeit haben sich die Sicherheitsforscher von Symantec und Trend Micro auf diese neuen Funktionen konzentriert.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Eine neue Erkennung bösartiges PowerShell-Skript, das von Symantec als Backdoor.Trojan erkannt wird, "verfügt über verschiedene Verschleierungsebenen und kann bösartigen Code in 'rundll32.exe' einschleusen, so dass es sich im Computer verstecken kann, während es sich wie eine Hintertür verhält. "Der Sicherheitsforscher von Symantec, Roberto Sponchioni, sagte am Montag in einem Blogbeitrag.

Wenn das Skript ausgeführt wird, kompiliert und führt es bösartigen Code ein, der währenddessen in den Code eingebettet wird. Der kompilierte Code injiziert dann mehr bösartigen Code in rundll32, einem Systemprozess, um die Erkennung zu erschweren.

Der Rogue-Code in rundll32 verbindet sich mit einem Remote-Server und wartet auf Anweisungen, die er dann auf heimliche Weise ausführt, Sponchioni sagte.

Ende März warnten Sicherheitsforscher vom Antivirenhersteller Trend Micro vor einer anderen Bedrohung, die PowerShell-Skripte verwendet und als CRIGENT oder Power Worm bekannt ist.

CRIGENT kommt in bösartigen Word- und Excel-Dokumenten an, die von anderen fallengelassen werden Malware und Download zusätzlicher Komponenten beim Öffnen, einschließlich der Tor-Anonymitätssoftware und des Polipo-Web-Proxys.

"Ein PowerShell-Skript (erkannt als VBS_CRIGENT.LK oder VBS_CRIGENT.SM) wird heruntergeladen, das den gesamten Code enthält, um das bösartige Verhalten von CRIGENT auszuführen "Die Trend Micro-Forscher sagten damals in einem Blogbeitrag.

Das PowerShell-Skript enthält auch Routinen, um saubere Word- und Excel-Dokumente mit dem bösartigen CRIGENT-Code zu infizieren Der kombinierte Einsatz von Tor-, Polipo-, PowerShell- und Cloud-Speicherdiensten in dieser Malware unterstreicht die Tatsache, dass Cyberkriminelle bei ihren Angriffen legitime Funktionen nutzen wollen, sagten die Trend Micro-Forscher.

"Benutzer sollten es vermeiden, unbekannte PowerShell-Skripte auszuführen und sollten die Standard-Ausführungseinstellungen von PowerShell nicht reduzieren, um die Ausführung potenziell schädlicher Skripte zu verhindern", sagten die Symantec-Forscher.