Dos distintas amenazas que utilizan scripts maliciosos de Windows PowerShell fueron identificadas en las últimas semanas por investigadores de malware.

Los cibercriminales desarrollan malware cada vez más sofisticado haciendo uso de scripts de PowerShell, como parte de sus intentos por pasar desapercibidos.

Windows PowerShell es una interfaz de línea de comandos y de desarrollo de scripts diseñado para automatizar tareas de administración del sistema y de las aplicaciones. Está instalado de manera predeterminada en Windows 7 y versiones más recientes de Windows.

El uso malintencionado de PowerShell no es algo nuevo, pero parece ser que últimamente algunos desarrolladores de malware han enfocado sus esfuerzos en esta poderosa característica, pues tanto investigadores de seguridad de Symantec y de Trend Micro han encontrado nuevas y sofisticadas amenazas que la utilizan.

Un script de PowerShell identificado recientemente, el cual Symantec clasifica como Backdoor.Trojan "tiene diferentes capas de ofuscación y es capaz de inyectar código malicioso en el ejecutable rundll32.exe, de tal forma que puede ocultarse en el equipo mientras está encendido y actuar como puerta trasera", dijo Roberto Sponchioni, investigador de seguridad de Symantec el lunes en un blog.

Cuando se ejecuta, el script compila y ejecuta, sobre la marcha, código malicioso embebido en él. El código compilado inyecta más código malicioso en rundll32, un proceso del sistema, con el fin de dificultar la detección. El código inyectado realiza conexiones a un servidor remoto y espera por instrucciones, las cuales son ejecutadas posteriormente de manera cautelosa, dijo Sponchioni.

A finales de marzo, investigadores de seguridad del fabricante de antivirus Trend Micro advirtieron acerca de una amenaza diferente que utiliza scripts de PowerShell y es conocida como CRIGENT o Power Worm. CRIGENT se distribuye en documentos de Word y Excel que descargan componentes adicionales cuando son abiertos, incluyendo el sofware de anonimización Tor y el proxy web Polipo.

"Se descarga un script de PowerShell (detectado como VBS.CRIGENT.LK o VBS_CRIGENT.SM) que incluye todo el código necesario para llevar a cabo el comportamiento malicioso de CRIGENT", dijeron los investigadores de Trend Micro en un blog.

El script de PowerShell también contiene rutinas que infectan documentos limpios de Word y Excel con el código malicioso de CRIGENT, convirtiendo a la amenaza en un gusano informático.

"Los usuarios deben evitar ejecutar scripts desconocidos de PowerShell y no deberían ajustar las configuraciones de ejecución de PowerShell para así prevenir la ejecución de scripts maliciosos", dijeron los investigadores de Symantec.