Se ha observado a un actor de amenazas desconocido apuntando a la industria aeroespacial de EE. UU. con un nuevo malware basado en PowerShell llamado Gota de poder.
“PowerDrop utiliza técnicas avanzadas para evadir la detección, como el engaño, la codificación y el cifrado”, según Adlumin, que encontró el malware implantado en un contratista de defensa aeroespacial nacional no identificado en mayo de 2023.
“El nombre se deriva de la herramienta, Windows PowerShell, utilizada para elaborar el script, y ‘Drop’ de la cadena DROP (DRP) utilizada en el código para el relleno”.
PowerDrop también es una herramienta posterior a la explotación, lo que significa que está diseñado para recopilar información de las redes de las víctimas después de obtener el acceso inicial a través de otros medios.
El malware emplea mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) como balizas para iniciar comunicaciones con un servidor de comando y control (C2).
El servidor, por su parte, responde con un comando encriptado que se decodifica y ejecuta en el host comprometido. Se utiliza un mensaje de ping ICMP similar para filtrar los resultados de la instrucción.
Además, el comando de PowerShell se ejecuta mediante el Instrumental de administración de Windows (WMI), lo que indica los intentos del adversario de aprovechar las tácticas de vivir de la tierra para eludir la detección.
“Si bien el ADN central de la amenaza no es particularmente sofisticado, su capacidad para ofuscar la actividad sospechosa y evadir la detección por parte de las defensas de punto final huele a actores de amenazas más sofisticados”, dijo Mark Sangster, vicepresidente de estrategia de Adlumin.