Symantec, la société spécialisée dans la fourniture de solutions de sécurité, vient de tirer la sonnette d'alarme en annonçant que l'utilisation de scripts PowerShell par les cybercriminels est en très forte croissance. Dans son communiqué, la firme de sécurité affirme que ses chercheurs ont découvert que près de 95 % des scripts PowerShell analysés via sa solution sandbox BlueCoat Malware Analysis étaient malveillants. D'après Symantec, cela montre que les scripts PowerShell de source externe constituent une menace majeure pour les entreprises. D'ailleurs, la firme de sécurité affirme que 111 familles de menaces analysées utilisaient PowerShell.
Dans la plupart des cas, les scripts PowerShell sont utilisés par les attaquants pour télécharger leurs charges utiles. Ils servent également à traverser le réseau compromis et effectuer des missions reconnaissance. L'éditeur d'antivirus explique aussi que 8 % des pirates utilisent des techniques d'obfuscation dans leurs scripts PowerShell. Ce qui, dans ces cas, rend difficile de détecter les menaces. Par rappel, l'obfuscation est un procédé qui permet aux développeurs de protéger leurs codes source en les rendant inintelligibles aussi bien pour un être humain qu’un décompilateur, en garantissant toutefois son fonctionnement lors de la compilation. En plus de cela, il faut noter que beaucoup d'organisations n'autorisent que très rarement le suivi sur leurs ordinateurs, ce qui ne favorise pas non plus une meilleure détection des menaces liées à PowerShell.
Les chercheurs de Symantec disent qu'ils ont identifié beaucoup de cas où des macros Office et des scripts PowerShell ont été utilisés pour le téléchargement de la charge utile. Ils affirment aussi que les familles de logiciels malveillants les plus répandues qui utilisent actuellement PowerShell sont W97M.Downloader (9,4 % de tous les échantillons analysés), Trojan.Kovter (4,5 %), et JS.Downloader (4 %). Ces dernières se propagent via les spams envoyés dans les boites de courrier électronique.
Il faut également noter qu'il y a quelques années, Symantec avait lancé une mise en garde à l'endroit des utilisateurs contre d’éventuels malwares écrits en PowerShell, le Shell de Microsoft pour automatiser des tâches via des scripts sous Windows. Les chercheurs en sécurité de Symantec avaient découvert, parmi tant d'autres, un malware baptisé Backdoor.Trojan qui se présentait sous la forme d'un script PowerShell. Citons également le cheval de Troie Odinaff, découvert en octobre dernier, qui a été utilisé dans des attaques de haut niveau contre des institutions financières.
Les pirates se servent de plus en plus de Microsoft PowerShell, car ce dernier est installé par défaut sur la plupart des ordinateurs Windows. Il est ainsi devenu un outil idéal pour les cybercriminels dans la mise en œuvre de leurs forfaits. Pour lutter contre ces menaces, Symantec recommande aux administrateurs système de mettre à jour leur version de PowerShell afin de disposer de la dernière version disponible.
Source : blog Symantec
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Avalanche, un botnet responsable de campagnes de phishing et d'une vingtaine de familles de malwares, démantelé dans une opération internationale
Symantec annonce une utilisation croissante de scripts PowerShell dans les attaques
Plus de 100 familles de menaces analysées utilisaient PowerShell
Symantec annonce une utilisation croissante de scripts PowerShell dans les attaques
Plus de 100 familles de menaces analysées utilisaient PowerShell
Le , par Malick
Une erreur dans cette actualité ? Signalez-nous-la !