Qué puede ser esto? (seguridad)

parece una pagina hecha específicamente diseñada para infectar estudiantes, el codigo ese es chungo de cojones, se conecta a un servidor remoto y se descarga contenido que luego el script desparsea y desencripta supongo que si no lo pillaria el defender o algo, pero vamos que esta echo para que no se entienda. Vamos que tu novia ha caido posiblemente en la trampa de un marroqui y el script que ha ejecutado ha ejecutado una erie de comandos que la han conectato con un servidor y han descargado archivos de este, ni puta idea de que ha descargado ni donde, igual convendría revisar el ordenador, en tu lista de cosas a mirar tendria que estar; revisar que no haya procesos activos relacionados con lo que haya podido descargar, seguramente esten camuflados te va a tocar ver los logs del powershell para ver que ha echo exactamente,miraria a que se ha conectado ya por curiosidad, haz netsat -a y a revisar, y rezar xk puede ser que si tenia alguna clave guardada o algo se la han follado seguro. luego ya pasar el malwerbytes, cambiar las claves importantes y si fuese tuviese restablecer una copia de seguridad asi te quitas de problemas

obtuso dijo:

parece una pagina hecha específicamente diseñada para infectar estudiantes, el codigo ese es chungo de cojones, se conecta a un servidor remoto y se descarga contenido que luego el script desparsea y desencripta supongo que si no lo pillaria el defender o algo, pero vamos que esta echo para que no se entienda. Vamos que tu novia ha caido posiblemente en la trampa de un marroqui y el script que ha ejecutado ha ejecutado una erie de comandos que la han conectato con un servidor y han descargado archivos de este, ni puta idea de que ha descargado ni donde, igual convendría revisar el ordenador, en tu lista de cosas a mirar tendria que estar; revisar que no haya procesos activos relacionados con lo que haya podido descargar, seguramente esten camuflados te va a tocar ver los logs del powershell para ver que ha echo exactamente,miraria a que se ha conectado ya por curiosidad, haz netsat -a y a revisar, y rezar xk puede ser que si tenia alguna clave guardada o algo se la han follado seguro. luego ya pasar el malwerbytes, cambiar las claves importantes y si fuese tuviese restablecer una copia de seguridad asi te quitas de problemas

Hacer clic para expandir...

de echo seguro que si te pones con el burpsuite en la pagina esa y intentas cazar la web antes de que salga el mensaje no esta ni terminada, esta es la web de verdad :https://www.xior.be/en, parece que les han mangado el dominio

obtuso dijo:

de echo seguro que si te pones con el burpsuite en la pagina esa y intentas cazar la web antes de que salga el mensaje no esta ni terminada, esta es la web de verdad :https://www.xior.be/en, parece que les han mangado el dominio

Hacer clic para expandir...

Scamers siendo scameados, me gusta.

Por cierto yo formatearía instantáneamente. Haz copia de seguridad y limpia por completo por fuerza bruta. Yo cuando pasa algo similar siempre lo hago.

Si se lo pones a ChatGPT te dice esto:

Este script de PowerShell parece ser un código malicioso con varias funcionalidades complejas, probablemente un malware diseñado para extraer información y comunicarse con un servidor remoto. Aquí hay un desglose de lo que hace:

1. **Monitorización de la memoria del proceso**:
- Obtiene la memoria en uso del proceso actual (`Get-Process -Id $PID | Select-Object Name,@{Name="rgba";Expression={($_.ws / 1024kb)}}).rgba`).
- Si la memoria en uso es menor a 250MB, crea una variable con un string de 300MB (`"a" * 300MB`), probablemente para llenar la memoria y evadir ciertos análisis de sandbox.

2. **Definición de variables**:
- Define algunas variables, incluyendo una URL que parece ser un endpoint de Binance Smart Chain (`$u7d9Tg2 = "https://bsc-dataseed1.binance.org/"`).

3. **Funciones de utilidad**:
- `HxStr2BAr`: Convierte una cadena hexadecimal a un arreglo de bytes.
- `CvRt2Str`: Convierte una cadena hexadecimal a texto ASCII.
- `DcyptStr`: Desencripta una cadena usando AES en modo CBC con padding PKCS7.

4. **Obtención y desencriptación de datos**:
- Descarga contenido desde una URL (`"https://rentry.co/t5266q3p/raw"`) y lo almacena en `$ivContent`.
- Realiza una llamada a un método RPC de Ethereum (`eth_call`) para obtener datos de una dirección específica y los convierte a cadena de texto.
- Usa la función `DcyptStr` para desencriptar una cadena usando una clave y un vector de inicialización obtenidos del contenido descargado y una cadena codificada en Base64.

5. **Comunicación con un servidor remoto**:
- Usa la información desencriptada para construir una URL y hace una solicitud POST a esta URL con datos específicos (`$p2W8r3Xz` y `Invoke-RestMethod`).

6. **Ejecución de comandos adicionales**:
- Realiza otra llamada a un método RPC de Ethereum para obtener más datos.
- Descodifica y ejecuta un comando obtenido a través de estas operaciones (`Invoke-Expression $d2P5x9Nm`).

**Conclusión**:
El script parece tener los siguientes propósitos:
- Recoger información del sistema y del proceso.
- Obtener y desencriptar datos de una fuente externa.
- Comunicarse con un servidor remoto para enviar información.
- Ejecutar comandos adicionales basados en la información obtenida.

Estas son características típicas de scripts maliciosos utilizados en ataques avanzados, como los de exfiltración de datos o de control remoto de sistemas comprometidos. Se recomienda no ejecutar este código y realizar un análisis de seguridad en el sistema afectado.