Uma nova e sofisticada campanha de malware, batizada de SHADOW#REACTOR, tem sido identificada instalando secretamente o trojan de acesso remoto (RAT) conhecido como Remcos em dispositivos com sistema operacional Windows. Este ataque permite que cibercriminosos obtenham controle total sobre os computadores das vítimas. Descoberta pela empresa de segurança Securonix, a ofensiva se inicia por meio de técnicas de engenharia social, como e-mails e mensagens falsas, que induzem os usuários a clicar em links maliciosos.
Ao ser acionado, o link malicioso dispara a execução de um script Visual Basic ofuscado, o “win64.vbs”, que é ativado via wscript.exe, um componente legítimo do Windows. Este script inicial prepara o terreno, carregando e executando um código PowerShell codificado em Base64 para dificultar a análise e detecção.
O script PowerShell então se comunica com um servidor remoto dos atacantes para baixar arquivos de texto aparentemente inofensivos, como “qpwoe64.txt” ou “qpwoe32.txt”, salvando-os no diretório temporário. O ataque se destaca por seu mecanismo de verificação e autocorreção, garantindo o download completo e retentando em caso de falha, o que demonstra um design robusto para manter a infecção ativa.
Táticas avançadas de ofuscação e persistência
Após a validação, um segundo script PowerShell (“jdywa.ps1”) é construído no diretório temporário. Este invoca um carregador protegido pelo .NET Reactor, uma ferramenta comercial de ofuscação de código que dificulta a análise de segurança. A campanha utiliza a tática “living-off-the-land”, abusando de ferramentas legítimas do sistema, como o MSBuild.exe, um compilador oficial da Microsoft, para lançar o Remcos RAT. Scripts adicionais asseguram a persistência, reativando o malware mesmo após possíveis interrupções.
A Securonix avalia que a campanha é ampla e oportunista, visando principalmente ambientes corporativos e pequenas e médias empresas. As técnicas empregadas são típicas de “corretores de acesso inicial”, criminosos especializados em comprometer sistemas para vender o acesso a outros grupos, que os utilizam em ataques mais complexos. A sofisticação reside nos estágios intermediários baseados em texto, reconstrução dinâmica de código malicioso na memória e o uso do .NET Reactor, tornando a detecção por antivírus e pesquisadores extremamente difícil.
Proteja-se contra o Remcos RAT
Para mitigar os riscos, a Securonix recomenda algumas medidas cruciais:
Aumentar a conscientização dos usuários sobre ameaças baseadas em scripts e os perigos de executar arquivos inesperados ou de fontes não confiáveis.Restringir ou monitorar a execução de scripts VBS, JS e PowerShell, especialmente os que surgem de locais graváveis pelo usuário.Garantir que soluções EDR (Endpoint Detection and Response) detectem comportamentos suspeitos, como cadeias de processos pai-filho anômalas (ex: wscript.exe → powershell.exe → msbuild.exe).Habilitar o logging aprimorado do PowerShell (ScriptBlock logging).
A vigilância contínua e a implementação de boas práticas de segurança digital são cruciais para proteger empresas e usuários contra esta ameaça persistente.
Fonte: https://www.tecmundo.com.br
