Фото: Shutterstock
Недавний отчёт компании CYFIRMA раскрыл появление нового кейлоггера, использующего PowerShell — автоматизированную среду для выполнения команд и управления конфигурациями от Microsoft. Этот вид вредоносного ПО отслеживает каждое нажатие клавиш на заражённом устройстве, что позволяет злоумышленникам собирать конфиденциальные данные, такие как логины, пароли, номера банковских карт и личные сообщения.
Новый кейлоггер, проанализированный CYFIRMA, использует возможности PowerShell для скрытной записи клавиатурных вводов. Благодаря глубокой интеграции PowerShell с Windows и его мощным функциям скриптинга, этот инструмент становится привлекательной целью для киберпреступников. Они могут незаметно исполнять команды без участия пользователя, что значительно усложняет процесс обнаружения.
Ключевые характеристики кейлоггера включают выполнение команд через PowerShell без взаимодействия с пользователем и сбор информации о системе. Вредоносное ПО получает доступ к критически важным данным, таким как профили пользователей, параметры дисков и криптографические настройки системы.
Для обеспечения связи с управляющим сервером кейлоггер использует облачные серверы, а также Onion-сервер в сети Tor, что помогает злоумышленникам оставаться анонимными и затрудняет их отслеживание. Дополнительно к сбору данных с клавиатуры, кейлоггер может делать снимки экрана, что даёт преступникам доступ к визуальной информации с заражённого устройства.
Чтобы обойти системы безопасности, кейлоггер использует шифрованные команды с кодировкой Base64, что маскирует его деятельность от традиционных защитных механизмов. Он также пытается поддерживать постоянную связь через прокси-сервер SOCKS, обеспечивая повторные попытки подключения даже в случае начальных неудач.
Хотя в текущей версии отсутствует полноценный механизм постоянства, структура кода указывает на возможные улучшения в будущем, что позволит вредоносной программе дольше оставаться в системе.
