Malware PowerDrop usa PowerShell

Um ator de ameaça não identificado anteriormente foi observado direcionando seu foco para a indústria aeroespacial dos EUA, empregando um malware recém-desenvolvido conhecido como PowerDrop, que opera por meio do PowerShell.

De acordo com a Adlumin, a empresa de segurança cibernética que fez a descoberta, o PowerDrop utiliza métodos sofisticados para evitar a detecção, incluindo táticas como engano, codificação e criptografia. Este software malicioso foi descoberto nos sistemas de um empreiteiro doméstico de defesa aeroespacial não divulgado em maio de 2023.

Modo de operação PowerDrop

O nome "PowerDrop" é derivado do amálgama de "Power" da ferramenta de script Windows PowerShell e "Drop" da string DROP (DRP) encontrada no código para servir como preenchimento.

O PowerDrop serve como uma ferramenta para pós-exploração, permitindo a coleta de informações de redes visadas após obter inicialmente acesso não autorizado por meios alternativos.

Para estabelecer comunicação com um servidor de comando e controle (C2), o malware emprega mensagens de solicitação de eco do Protocolo de Mensagens de Controle da Internet (ICMP) como beacons. Em resposta, o servidor envia um comando criptografado que é decodificado e executado no host comprometido. Além disso, uma mensagem de ping ICMP semelhante é utilizada para transmitir os resultados da instrução de volta ao invasor.

Além disso, a execução do comando PowerShell ocorre usando o serviço Windows Management Instrumentation (WMI), indicando a intenção do adversário de explorar recursos legítimos do sistema para evitar a detecção, uma estratégia comumente chamada de "living-off-the-land" táticas.

Como os agentes de ameaças podem se infiltrar nos sistemas corporativos?

Os agentes de ameaças podem empregar várias táticas para se infiltrar nos sistemas corporativos, algumas das quais incluem:

Ataques de phishing: Envolve o envio de e-mails ou mensagens enganosas a funcionários, muitas vezes disfarçados de entidades ou indivíduos legítimos, na tentativa de induzi-los a revelar informações confidenciais ou clicar em links maliciosos que concedem acesso não autorizado.

Malware: os agentes de ameaças podem usar diferentes tipos de malware, como vírus, trojans ou ransomware, para explorar vulnerabilidades em sistemas ou enganar os usuários para que instalem software mal-intencionado. Isso pode acontecer por meio de anexos infectados, sites comprometidos ou downloads maliciosos.

Engenharia Social: Esta técnica baseia-se na manipulação de indivíduos por meio de táticas psicológicas para obter acesso não autorizado. Pode envolver a representação de pessoal confiável, a exploração de relacionamentos pessoais ou o aproveitamento de informações publicamente disponíveis para ganhar a confiança do alvo e extrair informações confidenciais.

Ameaças internas: às vezes, os indivíduos dentro de uma organização representam um risco de segurança intencionalmente ou inadvertidamente. Funcionários insatisfeitos, motivados por ganhos financeiros ou indivíduos com credenciais comprometidas podem abusar de seus privilégios de acesso para se infiltrar em sistemas ou vazar informações confidenciais.

Exploração de sistemas fracos ou mal configurados: os agentes de ameaças verificam ativamente as redes em busca de vulnerabilidades, como software sem patches, servidores mal configurados ou senhas fracas. Ao identificar e explorar esses pontos fracos, eles podem obter acesso não autorizado aos sistemas corporativos.

Para se defender contra esses métodos de infiltração, as organizações devem implementar uma estratégia abrangente de segurança cibernética que inclua treinamento de funcionários, atualizações e patches regulares de software, controles de acesso robustos, monitoramento de rede, criptografia e planos de resposta a incidentes.