El malware PowerDrop utiliza PowerShell

Se ha observado a un actor de amenazas no identificado previamente dirigiendo su atención hacia la industria aeroespacial de EE. UU., empleando un malware recientemente desarrollado conocido como PowerDrop, que opera a través de PowerShell.

Según Adlumin, la firma de ciberseguridad que hizo el descubrimiento, PowerDrop utiliza métodos sofisticados para evitar la detección, incluidas tácticas como el engaño, la codificación y el cifrado. Este software malicioso se descubrió en los sistemas de un contratista de defensa aeroespacial nacional no revelado en mayo de 2023.

Modo de operación PowerDrop

El nombre "PowerDrop" se deriva de la fusión de "Power" de la herramienta de secuencias de comandos Windows PowerShell y "Drop" de la cadena DROP (DRP) que se encuentra en el código para servir como relleno.

PowerDrop sirve como una herramienta para la explotación posterior, lo que permite la recopilación de información de redes específicas después de obtener inicialmente acceso no autorizado a través de medios alternativos.

Para establecer comunicación con un servidor de comando y control (C2), el malware emplea mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) como balizas. En respuesta, el servidor envía un comando encriptado que luego se decodifica y ejecuta en el host comprometido. Además, se utiliza un mensaje de ping ICMP similar para transmitir los resultados de la instrucción al atacante.

Además, la ejecución del comando de PowerShell se lleva a cabo mediante el servicio Instrumental de administración de Windows (WMI), lo que indica la intención del adversario de explotar las funciones legítimas del sistema para evitar la detección, una estrategia comúnmente conocida como "living-off-the-land". táctica.

¿Cómo pueden los actores de amenazas infiltrarse en los sistemas corporativos?

Los actores de amenazas pueden emplear varias tácticas para infiltrarse en los sistemas corporativos, algunas de las cuales incluyen:

Ataques de phishing: esto implica el envío de correos electrónicos o mensajes engañosos a los empleados, a menudo disfrazados de entidades o individuos legítimos, en un intento de engañarlos para que revelen información confidencial o hagan clic en enlaces maliciosos que otorgan acceso no autorizado.

Malware: los actores de amenazas pueden usar diferentes tipos de malware, como virus, troyanos o ransomware, para explotar vulnerabilidades en los sistemas o engañar a los usuarios para que instalen software malicioso. Esto puede suceder a través de archivos adjuntos infectados, sitios web comprometidos o descargas maliciosas.

Ingeniería social: esta técnica se basa en manipular a las personas a través de tácticas psicológicas para obtener acceso no autorizado. Puede implicar hacerse pasar por personal de confianza, explotar las relaciones personales o aprovechar la información disponible públicamente para ganarse la confianza del objetivo y extraer información confidencial.

Amenazas internas: a veces, las personas dentro de una organización representan un riesgo de seguridad de manera intencional o inadvertida. Los empleados descontentos, los motivados por ganancias financieras o las personas con credenciales comprometidas pueden abusar de sus privilegios de acceso para infiltrarse en los sistemas o filtrar información confidencial.

Explotación de sistemas débiles o mal configurados: los actores de amenazas escanean activamente las redes en busca de vulnerabilidades, como software sin parches, servidores mal configurados o contraseñas débiles. Al identificar y explotar estas debilidades, pueden obtener acceso no autorizado a los sistemas corporativos.

Para defenderse de estos métodos de infiltración, las organizaciones deben implementar una estrategia integral de ciberseguridad que incluya capacitación de los empleados, actualizaciones y parches regulares de software, controles de acceso sólidos, monitoreo de red, encriptación y planes de respuesta a incidentes.