Beheertools als PowerShell, utilities uit Microsofts Sysinternals-pakket en Windows Management Instrumentation worden steeds meer gebruikt in aanvallen. Omdat deze door Windows-systeembeheerders worden ingezet voor legitieme doeleinden valt dat iets minder op, omdat standaardbeveiligingstools geen malafide software detecteren.

Volgens beveiligingsbedrijf McAfee is PowerShell een go-to tool geworden voor criminelen (PDF). De aanval op de Olympische Spelen was bijvoorbeeld uitgevoerd met PowerShell-scripts. Het bedrijf meet een groei van 432 procent ten opzichte van een jaar eerder, toen de malware ook al in opkomst was.

De infectievector is hetzelfde als de meeste malware: in een spammailtje wordt een script gebruikt om een payload binnen te halen. Er zijn policy's die PowerShell-opdrachten beperken, maar criminelen vinden manieren om deze te omzeilen, zo meldde McAfee vorig jaar (PDF). Het beveiligingsbedrijf stelt dan ook dat preventie de effectiefste manier is om zulke besmettingen tegen te gaan: de gebruiker moet zich bewust zijn van zulke gevaren en geen onverstandige acties uit te voeren.