Чужой среди своих: неуловимый PowerShell-бэкдор маскируется под обновление Windows

Ранее нигде не упоминавшийся бэкдор обнаружили эксперты из компании SafeBreach. Вредонос крайне скрытный, так как маскируется под процесс обновления Windows.

По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его C&C-инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.

Цепочка атак неизвестной группировки начинается с Word-документа ( VirusTotal ), который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.

Если жертва откроет документ, то с помощью вшитого в файл макрокода на ее компьютере выполнится PowerShell -скрипт ( Script1.ps1 )

PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые будут запущены вторым скриптом ( temp.ps1 ).

Однако хакеры допустили ошибку в своем скрипте, с помощью чего исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.