Beheertools als PowerShell, utilities uit Microsofts Sysinternals-pakket en Windows Management Instrumentation worden steeds meer gebruikt in aanvallen. Omdat deze door Windows-systeembeheerders worden ingezet voor legitieme doeleinden valt dat iets minder op, omdat standaardbeveiligingstools geen malafide software detecteren.

Volgens beveiligingsbedrijf McAfee is PowerShell een go-to tool geworden voor criminelen (PDF). De aanval op de Olympische Spelen was bijvoorbeeld uitgevoerd met PowerShell-scripts. Het bedrijf meet een groei van 432 procent ten opzichte van een jaar eerder, toen de malware ook al in opkomst was.

De infectievector is hetzelfde als de meeste malware: in een spammailtje wordt een script gebruikt om een payload binnen te halen. Er zijn policy's die PowerShell-opdrachten beperken, maar criminelen vinden manieren om deze te omzeilen, zo meldde McAfee vorig jaar ( PDF). Het beveiligingsbedrijf stelt dan ook dat preventie de effectiefste manier is om zulke besmettingen tegen te gaan: de gebruiker moet zich bewust zijn van zulke gevaren en geen onverstandige acties uit te voeren.