Rata de PowerShell

Los investigadores de ciberseguridad han identificado una nueva RAT (amenaza de acceso remoto) que los ciberdelincuentes han aprovechado contra objetivos en Alemania. El troyano se rastrea como PowerShell RAT y se implementa a través de sitios web corruptos utilizando la guerra en Ucrania como señuelo.

La RAT de PowerShell está equipada con la funcionalidad típica que se espera de amenazas de este tipo. Una vez implementado en los sistemas de destino, comienza a recopilar datos relevantes del dispositivo. Como sugiere su nombre, las funciones principales de la amenaza giran en torno a la ejecución de comandos de secuencias de comandos de PowerShell. Además, los actores de amenazas pueden filtrar los archivos elegidos del sistema violado o implementar cargas útiles adicionales en él. Esto permite a los atacantes expandir sus capacidades dentro del sistema, dependiendo de sus objetivos. Pueden descargar y ejecutar troyanos adicionales, amenazas de ransomware, criptomineros, etc.

El sitio web atractivo que difunde PowerShell RAT está diseñado para parecerse mucho al sitio web del estado alemán de Baden-Württemberg. Los actores de la amenaza incluso usaron un dominio, la colaboración-bw (punto) de, que se asoció previamente con el sitio oficial. En la página falsa, a los usuarios se les presentaría información precisa sobre los eventos relacionados con la guerra en Ucrania. El sitio intentará convencer a sus visitantes de que descarguen un archivo llamado '2022-Q2-Bedrohungslage-Ukraine.chm.txt'. Una vez abierto, el archivo mostrará un mensaje de error falso sobre un supuesto problema, mientras que un script comprometido se ejecutará en segundo plano en silencio. El script iniciará la cadena de infección de PowerShell RAT.