PowerShell

L’article publié sur Darknet.org.uk présente PsMapExec, un outil récent conçu pour les équipes de sécurité offensive, également appelées red teams. Cet outil est basé sur PowerShell et est spécifiquement développé pour faciliter les opérations d’énumération et de mouvement latéral dans les environnements internes. PsMapExec est particulièrement efficace lors d’opérations utilisant WinRM (Windows Remote Management) et SMB (Server Message Block), deux protocoles couramment utilisés dans les infrastructures Windows. L’outil permet aux professionnels de la sécurité de simuler des attaques et d’identifier des vulnérabilités potentielles dans les systèmes informatiques des entreprises. ...

L’article publié sur Darknet.org.uk présente Windows Endpoint Audit, un nouvel outil qui automatise les vérifications de sécurité sur les systèmes Windows. Cet outil utilise PowerShell pour effectuer des contrôles sur les services, les autorisations de registre et de fichiers, ainsi que sur les journaux d’audit. L’objectif est d’aider les équipes de sécurité, notamment les red teams et les défenseurs, à identifier les mauvaises configurations qui pourraient être exploitées par des attaquants. ...

L’article publié par Trend Micro le 7 juillet 2025 met en lumière l’émergence du groupe de ransomware BERT, qui cible principalement les systèmes Windows et Linux en Asie et en Europe. BERT utilise des tactiques telles que des loaders basés sur PowerShell, l’escalade de privilèges, et le chiffrement simultané des fichiers pour exécuter des attaques efficaces. Sur les systèmes Linux, le ransomware peut utiliser jusqu’à 50 threads pour accélérer le chiffrement et peut forcer l’arrêt des machines virtuelles ESXi pour maximiser l’impact. ...

L’analyse publiée par Gi7w0rm relate une attaque de type FakeCaptcha qui a compromis le site légitime de l’Association Allemande pour le Droit International. Un utilisateur a été redirigé vers une page Captcha frauduleuse, prétendant être sécurisée par Cloudflare, qui lui demandait d’exécuter une commande Powershell. Cette commande effectuait une requête Web vers un site distant (amoliera[.]com) et utilisait Invoke-Expression pour exécuter le code malveillant reçu. L’attaque illustre une méthode où les attaquants exploitent la confiance des utilisateurs envers les Captchas, qui sont normalement conçus pour différencier les humains des bots. ...

L’article publié par Sucuri met en lumière une nouvelle menace qui exploite une fausse page d’erreur Google Meet pour inciter les utilisateurs à exécuter un malware PowerShell. Cette attaque repose sur une page web frauduleuse imitant une erreur de connexion Google Meet. Les utilisateurs sont trompés par cette page qui les incite à télécharger et exécuter un script PowerShell malveillant. Ce script peut ensuite compromettre la sécurité de l’ordinateur de l’utilisateur, permettant potentiellement aux attaquants d’exécuter des commandes à distance ou de voler des données sensibles. ...

L’analyse a été réalisée par Talos, une division de Cisco spécialisée dans la cybersécurité, qui a étudié six mois de télémétrie réseau PowerShell. PowerShell est un outil largement utilisé pour l’automatisation des tâches et la gestion des systèmes, ce qui en fait une cible de choix pour les cybercriminels. L’étude de Talos s’est concentrée sur l’analyse des domaines contactés par PowerShell, révélant que les domaines rarement contactés sont trois fois plus susceptibles d’être associés à des activités malveillantes par rapport aux domaines fréquemment contactés. ...

Trend Research a mis en lumière une campagne de social engineering utilisant TikTok pour distribuer des malwares voleurs d’informations tels que Vidar et StealC. Cette campagne exploite la popularité de TikTok et sa capacité à rendre des contenus viraux pour atteindre un large public. Les attaquants utilisent des vidéos, potentiellement générées par des outils IA, pour inciter les utilisateurs à exécuter des commandes PowerShell sous prétexte d’activer des logiciels légitimes ou de débloquer des fonctionnalités premium. Cette méthode de diffusion de malwares diffère des campagnes traditionnelles comme celle des faux CAPTCHA. ...

Le groupe de hackers russes connu sous le nom de Gamaredon, ou ‘Shuckworm’, a fait les gros titres avec ses cyberattaques sophistiquées ciblant les missions militaires occidentales. Ce groupe a évolué ses tactiques, techniques et procédures (TTPs) pour améliorer sa furtivité et son efficacité, passant de Visual Basic Script (VBS) à des outils basés sur PowerShell. PowerShell est un framework d’automatisation des tâches de Microsoft, souvent utilisé par les attaquants pour exécuter des commandes et des scripts sur les systèmes Windows. Ce changement, rapporté par Symantec, souligne leur démarche stratégique pour obscurcir, ou cacher, les charges utiles et exploiter les services légitimes pour l’évasion. ...