Chúng tôi phải đồng ý rằng PowerShell của Microsoft là một công cụ tuyệt vời cho các chuyên gia CNTT đang chạy Windows trên máy của họ, nhưng có vẻ như bọn tội phạm mạng hiện đang sử dụng nó để phát tán phần mềm độc hại.

Theo Symantec, có rất nhiều tập lệnh PowerShell độc hại và dường như những mối đe dọa này đang phát triển với tốc độ nhanh, đặc biệt là trong trường hợp các công ty sử dụng khung shell.

Công ty bảo mật tuyên bố rằng hầu hết các tập lệnh PowerShell độc hại đang được sử dụng làm bản tải xuống. Sau khi quá trình tải xuống hoàn tất, mã được thực thi trên máy tính bị nhiễm và sau đó, phần mềm độc hại sẽ được phát tán trên toàn bộ mạng.

Các tập lệnh được sử dụng để loại bỏ bảo vệ an ninh

Symantec tuyên bố rằng có ba họ phần mềm độc hại phổ biến đang lây lan qua các tập lệnh PowerShell: Trojan.Kotver, W97M.Doader và JS.Doader.

Symantec cho biết, trong sáu tháng qua, chúng tôi đã chặn trung bình khoảng 466.028 email với JavaScript độc hại mỗi ngày và xu hướng này đang gia tăng. Không phải tất cả các tệp JavaScript độc hại đều sử dụng PowerShell để tải xuống các tệp, nhưng chúng tôi đã thấy sự gia tăng đều đặn trong cách sử dụng của khung.

Để làm cho mọi thứ trở nên tồi tệ hơn, bọn tội phạm mạng hiện đang tạo ra các tập lệnh PowerShell phức tạp hơn, hoạt động theo từng giai đoạn, vì vậy thay vì lây nhiễm trực tiếp vào máy tính mục tiêu, nó thực sự sẽ liên kết nó với một tập lệnh khác sẽ khởi chạy phần mềm độc hại. Bằng cách này, phần mềm độc hại đang bỏ qua một số giải pháp bảo mật và ứng dụng bảo vệ, bao gồm cả các trường hợp có thể phát triển tập lệnh để gỡ cài đặt một số giải pháp bảo mật hoặc thậm chí đánh cắp mật khẩu được sử dụng trong mạng.

Chúng tôi khuyên bạn nên cập nhật phần mềm bảo mật thường xuyên nhất có thể để giữ cho máy tính của bạn an toàn. Đồng thời, bạn phải luôn cài đặt phiên bản PowerShell mới nhất.

Bạn đang sử dụng PowerShell? Hãy cho chúng tôi suy nghĩ của bạn về các vấn đề bảo mật mà ứng dụng này đi kèm!