Cómo evitar ataques de PowerShell
Cada vez que una herramienta de Windows tiene acceso avanzado a una computadora, alguien la persigue y trata de encontrar formas de explotarla para ejecutar malware en los sistemas de las personas. PowerShell no es una excepción, y los actores maliciosos han encontrado formas de usarlo para causar caos en las computadoras de las personas.
Pero, ¿Qué es PowerShell y cómo se puede abusar de él?
¿Qué es PowerShell en Windows?
Windows PowerShell es una herramienta avanzada de automatización y configuración. Puedes utilizarla para ejecutar comandos que modifiquen tu sistema o para ejecutar scripts que ejecuten tareas complejas automáticamente. Esta guía informa qué es PowerShell y las muchas cosas que puedes hacer con la herramienta.
Debido a que PowerShell tiene los permisos del sistema para cambiar configuraciones importantes en tu PC o ejecutar scripts sensibles al sistema, los agentes maliciosos encuentran formas de lograr que ejecute código malicioso. Sin embargo, antes de analizar cómo se puede abusar de PowerShell, vale la pena señalar que en sí no es una aplicación maliciosa. Es una parte fundamental de Windows que no se puede deshabilitar.
¿Qué hace que PowerShell sea tan peligroso?
Cuando un actor malintencionado quiere aprovecharse de PowerShell, normalmente utiliza una de dos vías: engañar a las personas para que ejecuten código malicioso en PowerShell o crear un archivo que ejecute un script malicioso al abrirlo.
Agentes maliciosos que convencen a las personas de ejecutar comandos
En primer lugar, veamos qué ocurre cuando un agente malintencionado engaña a alguien para que ejecute un comando de PowerShell. Este truco suele implicar asustar a la víctima para que crea que necesita ejecutar un comando de PowerShell para solucionar un problema que no existe.
Según informa The Register, uno de estos trucos consiste en que agentes maliciosos ingresan a sitios web legítimos y los modifican para que muestren un falso mensaje de error. Este error indica que hay un problema con la copia de Windows, Google Chrome, Office o OneDrive del usuario. Para solucionar este "problema", el error falso indica que el usuario debe ejecutar un comando de PowerShell para reparar el problema.
Por supuesto, el código proporcionado no repara nada. En cambio, le indica a PowerShell que se conecte a un servidor, descargue un ejecutable malicioso desde un servidor externo y lo ejecute. En un caso de este ataque se utilizó PowerShell para descargar un cuentagotas (dropper), que luego descargó cinco cepas más de malware en la PC de destino.
Se detectó otra variante de este ataque de PowerShell "activado por el usuario" que se enviaba por correo electrónico. El correo electrónico incluía un archivo HTML diseñado para parecerse a Microsoft Word. Al abrirlo, afirmó que no podía mostrar la información en el documento de Word porque una extensión había dejado de funcionar. Luego se le pidió al usuario que copiara y pegara el código malicioso en PowerShell para repararlo o que descargara un archivo malicioso que hiciera el trabajo por el actor malicioso.
Archivos maliciosos que usan PowerShell para ejecutar malware sin archivos
La versión más aterradora del ataque de PowerShell utiliza malware sin archivos para atacar al objetivo. Este utiliza PowerShell para ejecutar tareas maliciosas sin descargar archivos en la PC de la víctima. Si el malware no descarga ningún archivo, impide que el software antivirus lo detecte, lo que dificulta su detección y eliminación.
En este artículo sobre malware que ataca a los descargadores de películas ilegales, se aborda una versión furtiva de este ataque. Este método de ataque suele camuflar un archivo LNK que contiene un script malicioso en otro archivo. En el ejemplo de la película ilegal, el archivo LNK se modificó para que pareciera un archivo de vídeo y así engañar a las personas para que lo ejecutaran.
Cómo evitar ataques de PowerShell
El problema de tomar medidas para evitar ataques de PowerShell es que existen soluciones legítimas que requieren que ingreses comandos en PowerShell. Por lo tanto, antes de ingresar un comando, es una buena idea tomarse un tiempo y considerar qué tan confiable es la fuente.
Si buscas una solución y encuentras un sitio web respetable y de buena reputación que te indica que debes usar un comando, entonces deberías poder ejecutarlo. Si lo que le aparece es un falso y estridente mensaje de error diseñado para generarte pánico, te causará problemas.
Si ves un comando y no estás seguro de qué hace, intenta buscarlo en Internet. Si te resulta útil, deberías encontrar resultados de otras personas que sugieren el comando. Si no encuentras nada (o incluso encuentras a alguien que lo informa como malicioso), ejecutarlo no es una buena idea.
Si por error ejecutas un ataque de PowerShell, puedes intentar utilizar los mejores programas antivirus para combatir el malware. Sin embargo, como ya hemos comentado, los ataques de PowerShell harán todo lo posible por volverse lo más indetectables posible. Si notas algo extraño después de ejecutar un comando de PowerShell, lo mejor que puedes hacer es realizar una instalación limpia del sistema operativo para asegurarte de borrar todo.
PowerShell es una herramienta muy útil que te permite controlar tu PC. Sin embargo, algunos delincuentes intentan engañar a la gente para que la usen de forma indebida. Afortunadamente, si estás alerta, puedes evitar que te ataque uno de ellos.