Un click e sei compromesso.




Fai clic e boom.


Tutto ciò di cui un hacker ha bisogno è un #exploit di successo. Di recente, il team #ThreatOps di #Huntress ha scoperto un #malware molto interessante.


Analizzando una riga alla volta questo malware, noteremo che si tratta di uno script "#batch" di #Windows. Ma la cosa fantastica è la chiamata [scriptblock] :: che carica il nuovo codice da eseguire.


Il New-Object IO.StreamReader ci permette di leggere il codice "al volo", estratto dai dati passati dove i dati che vediamo sono racchiusi in queste funzioni: IO.Compression.GzipStream, IO.MemoryStream e [Convert] :: #FromBase64String, con #GzipStream che utilizza un flag di decompressione.


Questo indica che il grande blocco di caratteri senza senso è in realtà un #GZIP codificato in #Base64.


Fare il #reverse #engineering, è il modo migliore per imparare a difendersi ed essere più resilienti.


Ma alla fine della giornata, questo è il nostro obiettivo: fare in modo che i criminali informatici siano costretti a lavorare sempre di più.


#redhotcyber #cybersecurity #technology #hacking #hacker #cybercrime #infosec


https://threatpost.com/powershell-payload-analysis-malware/165188/