Nuevo malware PowerDrop dirigido a la industria aeroespacial de EE. UU.

Se ha observado un actor de amenazas desconocido dirigido a la industria aeroespacial de Estados Unidos con un nuevo malware basado en PowerShell llamado PowerDrop.

"PowerDrop utiliza técnicas avanzadas para evadir la detección, como el engaño, la codificación y el cifrado", según Adlumin, que encontró el malware implantado en un contratista de defensa aeroespacial nacional no identificado en mayo de 2023.

"El nombre se deriva de la herramienta, Windows PowerShell, utilizada para inventar el script, y 'Drop' de la cadena DROP (DRP) utilizada en el código para el relleno".

PowerDrop también es una herramienta posterior a la explotación, lo que significa que está diseñada para recopilar información de las redes de víctimas después de obtener acceso inicial a través de otros medios.

El malware emplea mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) como balizas para iniciar comunicaciones con un servidor de comando y control (C2).

El servidor, por su parte, responde con un comando cifrado que se decodifica y se ejecuta en el host comprometido. Un mensaje de ping ICMP similar se utiliza para filtrar los resultados de la instrucción.


Además, el comando PowerShell se ejecuta mediante el servicio Instrumental de administración de Windows (WMI), lo que indica los intentos del adversario de aprovechar las tácticas de vida fuera de la tierra para eludir la detección.

"Si bien el ADN central de la amenaza no es particularmente sofisticado, su capacidad para ofuscar actividades sospechosas y evadir la detección por parte de las defensas de punto final huele a actores de amenazas más sofisticados", dijo Mark Sangster, vicepresidente de estrategia de Adlumin.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta