30-03-2016, 09:10
<r><SIZE size="150"><s></s>Les chercheurs de Palo Alto Networks viennent de découvrir un nouvel malware de type PowerShell, capable de s’exécuter directement en mémoire, en ne laissant quasiment aucune trace sur le système infecté. Nom de code : PowerSniff.<e></e></SIZE><br/>
<br/>
<IMG src="http://www.undernews.fr/wp-content/uploads/2016/03/powersniff.png"><s>[img]</s><URL url="http://www.undernews.fr/wp-content/uploads/2016/03/powersniff.png"><LINK_TEXT text="http://www.undernews.fr/wp-content/uplo ... rsniff.png">http://www.undernews.fr/wp-content/uploads/2016/03/powersniff.png</LINK_TEXT></URL><e>[/img]</e></IMG><br/>
<br/>
<SIZE size="150"><s></s>Afin d’optimiser l’ouverture et donc le taux d’infection, les cybercriminels à l’origine de PowerSniff n’hésitent pas à cibler spécifiquement une entreprise, en incluant dans le mail des références valides personnalisées (nom de l’entreprise, téléphone, contact existant, etc).<br/>
<br/>
Dans un billet de blog, les chercheurs de Palo Alto Networks décrivent un fonctionnement typique pour ce type de e-menace : une fois le document joint ouvert, une macro malicieuse s’exécute et invoque le service WMI pour lancer une instance cachée de powershell.exe avec des arguments déclenchant le téléchargement d’un script PowerShell encodé, qui est alors directement déchiffré et exécuté.<br/>
<br/>
Pour Palo Alto, PowerSniff devrait être considéré comme une menace élevée, « en raison des détails spécifiques à l’organisation contenus dans les e-mails et à l’utilisation d’une malware résident en mémoire ». <e></e></SIZE></r>
<br/>
<IMG src="http://www.undernews.fr/wp-content/uploads/2016/03/powersniff.png"><s>[img]</s><URL url="http://www.undernews.fr/wp-content/uploads/2016/03/powersniff.png"><LINK_TEXT text="http://www.undernews.fr/wp-content/uplo ... rsniff.png">http://www.undernews.fr/wp-content/uploads/2016/03/powersniff.png</LINK_TEXT></URL><e>[/img]</e></IMG><br/>
<br/>
<SIZE size="150"><s></s>Afin d’optimiser l’ouverture et donc le taux d’infection, les cybercriminels à l’origine de PowerSniff n’hésitent pas à cibler spécifiquement une entreprise, en incluant dans le mail des références valides personnalisées (nom de l’entreprise, téléphone, contact existant, etc).<br/>
<br/>
Dans un billet de blog, les chercheurs de Palo Alto Networks décrivent un fonctionnement typique pour ce type de e-menace : une fois le document joint ouvert, une macro malicieuse s’exécute et invoque le service WMI pour lancer une instance cachée de powershell.exe avec des arguments déclenchant le téléchargement d’un script PowerShell encodé, qui est alors directement déchiffré et exécuté.<br/>
<br/>
Pour Palo Alto, PowerSniff devrait être considéré comme une menace élevée, « en raison des détails spécifiques à l’organisation contenus dans les e-mails et à l’utilisation d’une malware résident en mémoire ». <e></e></SIZE></r>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
