Оболочка Microsoft PowerShell является мощным инструментом для опытных пользователей и профессионалов на операционной системе Windows. В последних сборках Windows 10 разработчики сделали её оболочкой по умолчанию, однако эксперты по информационной безопасности говорят, что и киберпреступники также используют её всё чаще.
Компания Symantec проанализировала вредоносные скрипты PowerShell и сообщает, что число угроз растёт быстрыми темпами, особенно это относится к предприятиям, где она широко используется. Большинство скриптов PowerShell применяют с целью выполнять код на компьютере и распространять вредоносные скрипты по сети.
Есть три популярных семейства вредоносных приложений, распространяющихся посредством скриптов PowerShell: W97M.Downloader (9,4% из рассмотренных примеров), Trojan.Kotver (4,5%) и Downloader (4%). За последние шесть месяцев Symantec блокировала в среднем по 466028 писем с вредоносным кодом JavaScript в день и это число растёт. Не все файлы JavaScript используют PowerShell для скачивания файлов, но популярность оболочки у хакеров увеличивается.
Создаются всё более сложные скрипты PowerShell, способные работать в несколько этапов. Вместо взлома компьютера напрямую они запускают другие скрипты, которые занимаются распространением вредоносных приложений. Это позволяет обойти определённые меры защиты, некоторые скрипты могут даже удалять антивирусные программы и красть пароли.
Специалисты рекомендуют пользоваться последними версиями приложений и последней версией PowerShell. Поскольку большинство скриптов распространяются по электронной почте, не следует открывать вложенные файлы и переходить по ссылкам в письмах от неизвестных адресатов.