Un informe reciente emitido por Severma Reveló la aparición de un nuevo keylogger que se ejecuta a través de un script de PowerShell, un marco para automatizar tareas y administrar la configuración desde microsoft.
Un keylogger es un tipo de malware que captura cada pulsación de tecla en un sistema infectado. Al registrar las entradas del teclado, los registradores de teclas pueden recopilar información confidencial como Datos de inicio de sesiónNúmeros de tarjetas de crédito y comunicaciones personales, y a menudo se utilizan para robar datos financieros o espiar a personas y organizaciones.
El registrador de teclas analizado en la investigación de CYFIRMA utiliza el script PowerShell de Microsoft para capturar subrepticiamente las pulsaciones de teclas. La integración nativa de PowerShell con Windows, combinada con sus poderosas capacidades de secuencias de comandos, lo convierte en un objetivo atractivo para los atacantes que buscan ejecutar comandos sin interacción directa del usuario.
Registrador de teclas basado en PowerShell
Los investigadores señalaron que este registrador de pulsaciones de PowerShell tiene muchas funciones avanzadas que mejoran su capacidad de sigilo y su eficacia a la hora de capturar información confidencial.
Esto incluye el intérprete de comandos y scripts, que permite al keylogger ejecutar comandos a través de PowerShell sin requerir la interacción del usuario, lo que complica enormemente los esfuerzos de detección.
El registrador de claves también explora el sistema y recopila información importante, como evidencia del perfil del usuario, detalles del volumen y configuraciones de cifrado.
Además, el registrador de claves establece comunicación de comando y control (C2) a través de ambos… servidor en la nube Y servidor Onion en la red Tor. Esta comunicación de dos canales no sólo mantiene el anonimato de los atacantes, sino que también complica los esfuerzos para rastrear su fuente. También incluye una función de captura de pantalla, que permite a los atacantes obtener datos visuales del sistema infectado, así como registrar las pulsaciones de teclas.
Para evitar la detección, el registrador de claves utiliza la ejecución de comandos cifrados y transmite comandos mediante cifrado Base64. Esta tecnología oculta comandos de las medidas de seguridad tradicionales.
También realiza continuos intentos de conexión vía SOCKS. apoderadolo que garantiza que incluso si los intentos iniciales de conexión fallan, el registrador de claves continuará intentando establecer la conexión. Si bien la versión actual del registrador de claves carece de un mecanismo de persistencia completamente desarrollado, el código incompleto sugiere que futuras actualizaciones pueden mejorar su capacidad para mantener un punto de apoyo en los sistemas infectados.
Dada la naturaleza avanzada del software de registro de pulsaciones basado en PowerShell, CYFIRMA señala que las organizaciones deben implementar medidas sólidas de ciberseguridad para defenderse contra tales amenazas, que incluyen:
- Fortalecer las políticas de seguridad: las organizaciones deben aplicar políticas de seguridad estrictas para restringir la ejecución de scripts de PowerShell no autorizados. Esto puede incluir deshabilitar o restringir el uso de PowerShell cuando no sea necesario y monitorear activamente cualquier intento de ejecución no autorizado.
- Invierta en detección avanzada de amenazas: implemente sistemas avanzados de detección de amenazas que aprovechen el aprendizaje automático y el análisis de comportamiento. Estos sistemas pueden detectar y responder de forma más eficaz a amenazas complejas, como los registradores de pulsaciones de teclas.
- Educar a los empleados: realizar pruebas periódicas Sesiones de entrenamiento Aumentar la conciencia entre los empleados sobre los peligros del phishing y otras técnicas de ingeniería social, que se utilizan con frecuencia para implementar keyloggers.
- Realice auditorías periódicas del sistema: programe auditorías frecuentes del sistema y controles de estado para detectar modificaciones no autorizadas, incluida la presencia de registradores de claves. Estas auditorías ayudan a garantizar el cumplimiento de las políticas de seguridad establecidas.
- publicar Protección de terminales:Utilice soluciones de protección de terminales diseñadas para detectar y bloquear actividades del registrador de claves. Estas soluciones deberían poder identificar amenazas que se ejecutan mediante procesos PowerShell no interactivos para mejorar la seguridad general.