Saldırganlar, sıkça kullanılan yönetim araçları ve penetrasyon test araçları dışında PowerShell kullanarak blacklist’e düşmeden sabit sürücülere zararlı yazılımı kaydetmeden bellekte gizleniyorlar. Sistemin yeniden başlatılmasına kadar geçen süre içinde, istedikleri tüm bilgileri alarak arkalarında iz bırakmadan kayboluyorlar.
Saldırganların ATM'lerden nasıl para çektikleri, Güvenlik Analisti Zirvesi (Security Analyst Summit) etkinliğinde detaylı olarak anlatılacak.
Bağımsız Devletler Topluluğu’na bağlı birçok bankanın 2016 yılı sonlarında Kaspersky Lab ile yaptığı görüşmede Meterpreter isimli penetrasyon testi yazılımının beklenmedik zamanlarda sunucu belleklerinde göründüğünü bildirdiler.
Yapılan adli incelemeye göre, Meterpreter kodu indirilerek powershell komutları ile hafızaya enjekte edildi ve denetlenen sunuculara veri aktarımı için Microsoft NETSH network aracı kullanıldı. Günlükleri temizlemek için ise Windows kayıt defteri, PowerShell komutları ile gizlendi. Bu yöntem ile saldırganlar sistem yöneticilerinin şifrelerini toplayarak virüs bulaştırdıkları bilgisayaları uzaktan kontrol etme imkanı sağladılar.