Un nuevo keylogger utiliza scripts de PowerShell de Microsoft para robar información confidencial sin ser detectado: así puedes proteger tus datos.

Un reciente informe ha puesto de manifiesto la aparición de un nuevo keylogger que opera mediante un script de PowerShell, una herramienta de automatización de tareas y gestión de configuraciones de Microsoft. Los keyloggers son software malicioso que registran cada pulsación del teclado en un sistema infectado, lo que les permite recolectar información sensible como credenciales de acceso, números de tarjetas de crédito y comunicaciones personales, y que suelen utilizarse para robar datos financieros o espiar a individuos y organizaciones.

El keylogger analizado en el estudio utiliza PowerShell para capturar pulsaciones de teclado de manera oculta. Gracias a la integración nativa de PowerShell con Windows y sus potentes capacidades de scripting, se convierte en un objetivo atractivo para los atacantes que buscan ejecutar comandos sin interacción directa del usuario.

Los investigadores señalaron que este keylogger basado en PowerShell presenta varias características avanzadas que mejoran su sigilo y eficacia en la recolección de información sensible. Estas incluyen un intérprete de comandos y scripting que permite al keylogger ejecutar órdenes a través de PowerShell sin necesidad de que el usuario interactúe, lo que complica enormemente los esfuerzos de detección.

El keylogger también realiza un descubrimiento del sistema, recopilando información importante como directorios de perfiles de usuario, detalles de volumen y configuraciones criptográficas. Además, establece comunicación de Comando y Control (C2) a través de un servidor en la nube y un servidor Onion en la red Tor, lo que no solo mantiene el anonimato de los atacantes, sino que también dificulta las tareas de rastreo hasta su origen. Incorpora también una función de captura de pantalla, permitiendo a los atacantes obtener datos visuales del sistema infectado junto con el registro de pulsaciones.

Para evadir la detección, el keylogger utiliza la ejecución de comandos codificados, transmitiendo órdenes mediante codificación Base64, lo que oculta los comandos de las medidas de seguridad tradicionales. También realiza intentos de conexión persistente a través de un proxy SOCKS, garantizando que, incluso si fallan los intentos iniciales, el keylogger continuará tratando de establecer comunicación. Aunque la versión actual carece de un mecanismo de persistencia completamente desarrollado, el código incompleto sugiere que futuras actualizaciones podrían potenciar su capacidad de mantener una presencia constante en los sistemas infectados.

Dada la sofisticación de este keylogger basado en PowerShell, se recomienda a las organizaciones implementar medidas de ciberseguridad robustas para protegerse contra tales amenazas. Esto incluye reforzar las políticas de seguridad para restringir la ejecución de scripts de PowerShell no autorizados, invertir en sistemas avanzados de detección de amenazas que utilicen aprendizaje automático y análisis de comportamiento, educar a los empleados sobre los peligros del phishing y otras técnicas de ingeniería social, realizar auditorías de sistema regulares para detectar modificaciones no autorizadas y desplegar soluciones de protección en los puntos finales que puedan identificar actividades de keylogger.

• ciberseguridad
• malware
• PowerShell