Piratas informáticos iraníes utilizan la nueva puerta trasera de PowerShell en ataques de ciberespionaje

Un grupo de amenazas persistentes avanzadas con vínculos a Irán ha actualizado su conjunto de herramientas de malware para incluir un novedoso implante basado en PowerShell llamado Back door without power, según una nueva investigación publicada por Cybereason.

La empresa de ciberseguridad con sede en Boston atribuyó el malware a un grupo de piratas informáticos conocido como Charming Kitten (también conocido como Phosphorous, APT35 o TA453), al mismo tiempo que llama la ejecución evasiva de PowerShell de la puerta trasera.

«El código de PowerShell se ejecuta en el contexto de una aplicación .NET, por lo que no ejecuta ‘powershell.exe’, lo que le permite evadir los productos de seguridad», Daniel Frank, investigador principal de malware en Cybereason, dicho. «El conjunto de herramientas analizado incluye malware extremadamente modular y de varias etapas que descifra y despliega cargas útiles adicionales en varias etapas por el bien del sigilo y la eficacia».

Más artículos
La FTC demanda a Frontier por ‘tergiversar’ las velocidades de Internet