Detectamos nuevo malware que permite control remoto de PCs Windows

Una nueva campaña de malware, identificada como **SHADOW#REACTOR**, instala un **troyano de acceso remoto** (RAT) llamado **Remcos**, permitiendo que **ciberdelincuentes** tengan control sobre dispositivos infectados. El ataque utiliza ingeniería social, incluyendo correos electrónicos y mensajes fraudulentos, para engañar a las víctimas.

La autora del informe, la empresa de seguridad **Securonix**, revela que la invasión se inicia cuando la víctima hace clic en un enlace malicioso. Esto activa un script **Visual Basic** ofuscado denominado "win64.vbs", que es ejecutado a través del programa legítimo **wscript.exe** de Windows. Este primer paso prepara el sistema para futuras etapas del ataque.

Después de la ejecución del script VBS, un código **PowerShell** codificado en **Base64** es cargado. Esta codificación es una técnica que busca dificultar el análisis del código malicioso.

El script PowerShell establece una comunicación con un servidor remoto controlado por los atacantes, utilizando la biblioteca **System.Net.WebClient**. A continuación, archivos de texto, que parecen inofensivos y son nombrados como "qpwoe64.txt" o "qpwoe32.txt", son descargados y guardados en el directorio temporal de Windows. La nomenclatura del archivo depende de si el sistema operativo es de 64 o 32 bits.

Técnicas Avanzadas Dificultan la Detección

Este ataque se destaca por un riguroso **mecanismo de verificación** y autocorrección. Después de la descarga de los archivos de texto, el script entra en un **bucle** que verifica la presencia del archivo y si tiene el tamaño mínimo esperado.

Si el archivo está ausente o incompleto, el malware pausa la ejecución y trata de descargarlo nuevamente. Incluso con el tiempo límite excedido, el proceso continúa, evitando fallas en la infección inicial, lo que demuestra una planificación sofisticada.

Cuando los criterios son cumplidos, el proceso avanza con la creación de un segundo script PowerShell llamado "jdywa.ps1", también en el directorio temporal.

Este script invoca un **cargador** protegido por la herramienta **.NET Reactor**, una solución comercial que ofusca el código para dificultar su análisis.

Cuando Herramientas Legítimas Se Convierten en Armas

El cargador ejecuta funciones críticas, como establecer persistencia en el sistema y recuperar la próxima fase del malware, además de implementar verificaciones para evitar la detección por herramientas de seguridad.

En la etapa final del ataque, los ciberdelincuentes utilizan una técnica llamada **"living-off-the-land"**. Esto significa que se aprovechan de herramientas legítimas del sistema operativo para realizar actividades maliciosas.

En este caso, el **MSBuild.exe** - una herramienta de **Microsoft** usada para compilar aplicaciones - es empleado para iniciar el Remcos RAT en el ordenador de la víctima. Además, scripts adicionales son programados para reactivar el script VBS, asegurando que el malware permanezca en operación, incluso si algunos componentes son desactivados. Los investigadores estiman que esta campaña es extensa, enfocándose principalmente en **entornos corporativos** y **pequeñas y medianas empresas**.

La técnica empleada preocupa, ya que corresponde a la actuación de **corretores de acceso inicial**, que comprometen sistemas y posteriormente venden el acceso a otros grupos ciberdelincuentes, para que realicen ataques más complejos, como **ransomware** o **robo de datos**.

El aspecto innovador de esta campaña es la utilización de **etapas intermedias** basadas en texto simple, además de la reconstrucción dinámica de código malicioso en la memoria del ordenador, utilizando PowerShell y un cargador protegido.

Esta estructura fue meticulosamente planeada para dificultar la detección por antivirus y el análisis por especialistas en seguridad. El diseño modular y bien mantenido sugiere que se trata de una operación profesional con recursos significativos.

Cómo Protegerse

La Securonix recomienda algunas medidas para evitar ser afectado por ataques como este:

• Aumentar la concienciación de los usuarios sobre amenazas que involucran scripts;
• Educar a los colaboradores sobre los riesgos de ejecutar scripts descargados y alertar sobre archivos inesperados;
• Restringir o monitorear la ejecución de scripts VBS, JS y PowerShell, especialmente aquellos de directorios grabables por el usuario;
• Asegurar que soluciones de **Endpoint Detection and Response** (EDR) puedan detectar comportamientos sospechosos de intérpretes de scripts;
• Activar el **logging** mejorado de PowerShell para identificar actividades sospechosas;
• Verificar el uso inapropiado de binarios confiables, especialmente cuando ejecutados en contextos no usuales;
• Monitorear atajos sospechosos y tareas programadas que puedan comprometer el sistema.

Estas prácticas son esenciales para reforzar la seguridad y mitigar posibles ataques.

Sigue nuestras actualizaciones para obtener más información sobre seguridad y tecnología utilizando nuestras redes sociales y suscribiéndote a nuestros boletines.