Saltar al contenido
Locura Informática Digital

Tenga cuidado con las solicitudes de credenciales de Windows PowerShell

Recientemente se publicó un nuevo script de PowerShell en Github que solicita a la víctima que ingrese sus credenciales de inicio de sesión, verifica si son correctas y luego envía las credenciales a un servidor remoto. Esto permite a un atacante distribuir el script y cosechar las credenciales de inicio de sesión del dominio de sus víctimas.

Tenga cuidado con las solicitudes de credenciales de Windows PowerShell

Credenciales de Windows PowerShell

Este script de Github utiliza el cmdlet Get-Credential PowerShell para mostrar la solicitud de inicio de sesión que solicita al usuario que ingrese sus credenciales. Cuando el usuario ingresa sus credenciales, el script intentará usarlas para autenticarse en el dominio de la víctima, y ​​si tiene éxito, enviará las credenciales a un servidor remoto. Si las credenciales ingresadas son incorrectas, la secuencia de comandos seguirá pidiéndole al usuario que ingrese sus credenciales.

En este punto, la única manera de finalizar el aviso es abrir el Administrador de tareas, buscar un proceso llamado “Windows PowerShell” y luego finalizarlo.

Afortunadamente, la solicitud de inicio de sesión mostrada por este script en particular hace que sea fácil de detectar, ya que la alerta se llamará “solicitud de credencial de Windows PowerShell” y contendrá una cinta azul con un conjunto de claves.

El problema es que el título de esta alerta se puede cambiar utilizando un cmdlet PowerShell ligeramente diferente, que no compartiremos aquí. Al usar el comando diferente, un atacante puede personalizar aún más el aviso de inicio de sesión para hacerlo más convincente para la víctima.

Por ejemplo, a continuación, creamos un aviso que pretende ser Windows Defender y le pide al usuario que inicie sesión para limpiar la computadora.

 credenciales de Windows PowerShell
Aviso de credenciales personalizadas | bleepingcomputer

Si bien los usuarios de computadoras con experiencia aún pueden encontrar avisos para sospechar, hay muchos que pueden pensar que es legítimo e ingresar el nombre de usuario y la contraseña.

Afortunadamente, a pesar de que el título puede haber sido cambiado, el mensaje sí mismo todavía contiene la cinta azul con el conjunto de claves. Por lo tanto, si alguna vez aparece un mensaje solicitando su nombre de usuario y contraseña, y la alerta es similar a la anterior, tenga cuidado al ingresar sus credenciales. Muy bien podría ser un intento de robar el inicio de sesión de tu dominio.
Via: bleepingcomputer

Información adicional