Xavier Mertens (@xme), un consultant en cybersécurité du SANS, a découvert un script Powershell malveillant sur le site archive.org, qui n'a été détecté que par un nombre limité de solutions antivirus.

Archive.org, également connu sous le nom de "Way Back Machine", contient les anciennes pages des sites Web, car tous les sites Web sur Internet sont constamment mis à jour vers des versions plus récentes.

Il a également trouvé un fichier intéressant, server-lol-123_20210606_meta.xml, qui révèle des informations sur les attaquants.

Le script contient du code Powershell fonctionnant comme un téléchargeur ; une fois exécuté, il télécharge la charge utile depuis archive.org, la dépose sur le disque et l'exécute.

"C'est l'Internet sauvage d'aujourd'hui : Si vous autorisez les utilisateurs à créer un compte et à télécharger des données, il y a de grandes chances que cette fonctionnalité soit abusée pour héberger du contenu malveillant", a déclaré le chercheur.