محققان در شرکت امنیتی بلک‌کاربن (Black Carbon) شرکتی در ایالت ماساچوست آمریکا به مجله امنیتی Threatpost گفتند که یک باج‌افزار جدید بانام PowerWare هفته پیش زمانی کشف‌شده‌ است که شرکتی در زمینه صنعت بهداشت را هدف قرار داده بود.

آنچه PowerWare را از دیگر بدافزارهای رمزنگاری جدا کرده است این است که این بد‌افزار هیچ پرونده‌ای ندارد و این شیوه‌ای است که خانواده‌های دیگر بدافزارهای قرار داده‌شده در کیت‌های سوء‌استفاده از آسیب‌پذیری‌ مانند Anglar به‌کاربرده‌اند.

برای مثال شرکت Palo Alto دو هفته‌ی پیش از وجود خانواده بدافزاری به نام PowerSniff پرده برداشت که رفتاری مشابه بدافزار PowerWare داشت. ازجمله این رفتارها می‌توان آلوده کردن بدون نیاز به پرونده را نام برد.
این بدافزار از طریق عملیات هرزنامه‌‌ای پخش می‌شود. در این فرآیند رایانامه‌ی مذکور یک پرونده‌ی پیوست مایکروسافت ورد دارد که وانمود می‌کند یک صورت‌حساب تجاری است. برای انتقال صحیح پیوست ورد، قربانی وسوسه می‌شود تا ماکروها را فعال کند.  هنگامی‌که ماکروها فعال شدند، cmd.exe و سپس از طریق آن PowerShell را که قالبی برای مدیریت دستورات در پوسته‌‌ی فرمان برای ویندوز است باز می‌کند تا کدی مخرب را بارگیری کند. ریکو والدز محقق ارشد در شرکت بلک کربن می‌گوید: «استفاده از PowerShell از نوشتن پرونده‌ها به دیسک جلوگیری کرده و به بدافزار اجازه می‌دهد با فعالیتی مجاز روی کامپیوتر هماهنگ شود.»
والدز اضافه می‌کند: «ماکروها PowerShell را راه‌اندازی و کد باج‌افزار را به کار می‌گیرد. بسیاری از بدافزارها از طریق ماکروها در پرونده‌های ورد (word) توزیع می‌یابند. اکثر مواقع این بدافزارها پرونده‌های دودویی بیشتری را بارگیری می‌کنند تا فعالیت‌های مخرب بیشتری انجام دهند (مانند درهای پشتی و غیره). ماکرو نمی‌تواند این نظام‌های دودویی اضافی را از این ببرد و از PowerShell به‌عنوان اهرمی برای کارهای مخرب استفاده می‌کند.»
در عمل PowerWare به‌محض این‌که به یک ماشین راه می‌یابد از PowerShell برای رمزگذاری فایل‌های ذخیره‌شده‌ای روی دستگاه استفاده می‌کند.

برنامه‌ای که درواقع همه پرونده‌ها را رمزگذاری می‌کند PowerShell است. یک اسکریپت بارگیری شده و به PowerShell داده می‌شود؛ یعنی هیچ بدافزار قدیمی و هیچ پرونده‌ی اجرایی موردنیاز نیست و تنها چیزی که لازم است یک سند به شکل ورد (متن) است.

پرونده‌های شخص قربانی رمزگذاری می‌شوند و مهاجم به ازای پرداخت ۵۰۰ دلار کلید پرونده‌ها را به قربانی می‌دهد، اگرچه دو هفته پس از آلودگی این مبلغ به ۱۰۰۰ دلار افزایش‌یافته است.

 استفاده از ماکروها برای شروع بارگیری باج‌افزار تنها به باج‌افزار PowerWare اختصاص ندارد. برای مثال باج‌افزار Locky که در حال حاضر بیمارستان‌های هالیوود و کنتاکی را آلوده کرده است از روش‌های مشابهی برای انتقال  استفاده کرده و بر اساس هرزنامه‌های دارای اسناد ورد کار می‌کند که از ماکروها برای بارگیری بدافزار استفاده می‌کند؛ اما بدافزار Locky از ماکروها برای بارگیری پرونده‌ها به ماشین قربانی استفاده می‌کند، کاری که PowerWare از آن اجتناب می‌کند.

استفاده از ماکروها در جهت نصب بدافزارها در شش ماه گذشته افزایش بیشتری داشته‌ است، نه‌تنها در زمینه باج‌افزارها بلکه در مورد بدافزارهای بانکی همچون Dridex البته ماکروها به‌طور پیش‌فرض توسط ماشین‌های ویندوزی غیرفعال شده‌اند.

والدز گفت: «این حمله برای این طراحی‌شده است که با مهندسی اجتماعی کاربر را مجاب به فعال‌سازی ماکروها کند. اسناد ورد و صفحات اکسل بسیاری حاوی ماکرو هستند بنابراین بسته به محیط مورد هدف و مهارت کاربر، این کار غیرمعمول نیست.»

در مورد PowerSniff که توسط Palo Alto کشف‌شده است، نیز از ماکروهایی برای راه‌اندازی نمونه PowerShell استفاده می‌کند تا بدین ترتیب کد پوسته‌ای بارگیری شود که بدافزار Ursnif را مستقیماً بر روی حافظه نصب کند.

 هردو شرکت مذکور شاخص‌هایی برای آلوده شدن با خانواده بدافزارهای کشف‌شده منتشر کرده‌اند.