Detectamos novo malware que permite controle remoto de PCs Windows

Uma nova campanha de malware, identificada como SHADOW#REACTOR, instala um trojan de acesso remoto (RAT) chamado Remcos, permitindo que cibercriminosos tenham controle sobre dispositivos infectados. O ataque utiliza engenharia social, incluindo e-mails e mensagens fraudulentas, para enganar as vítimas.

A autora do relatório, a empresa de segurança Securonix, revela que a invasão se inicia quando a vítima clica em um link malicioso. Isso ativa um script Visual Basic ofuscado denominado "win64.vbs", que é executado por meio do programa legítimo wscript.exe do Windows. Este primeiro passo prepara o sistema para futuras etapas do ataque.

Após a execução do script VBS, um código PowerShell codificado em Base64 é carregado. Essa codificação é uma técnica que visa dificultar a análise do código malicioso.

O script PowerShell estabelece uma comunicação com um servidor remoto controlado pelos atacantes, utilizando a biblioteca System.Net.WebClient. Em seguida, arquivos de texto, que parecem inofensivos e são nomeados como "qpwoe64.txt" ou "qpwoe32.txt", são baixados e salvos no diretório temporário do Windows. A nomenclatura do arquivo depende se o sistema operacional é de 64 ou 32 bits.

Técnicas Avançadas Dificultam a Detecção

Esse ataque se destaca por um rigoroso mecanismo de verificação e autocorreção. Após o download dos arquivos de texto, o script entra em um loop que verifica a presença do arquivo e se ele possui o tamanho mínimo esperado.

Se o arquivo estiver ausente ou incompleto, o malware pausa a execução e tenta baixá-lo novamente. Mesmo com o tempo limite excedido, o processo continua, evitando falhas na infecção inicial, o que demonstra um planejamento sofisticado.

Quando os critérios são atendidos, o processo avança com a criação de um segundo script PowerShell chamado "jdywa.ps1", também no diretório temporário.

Esse script invoca um carregador protegido pela ferramenta .NET Reactor, uma solução comercial que ofusca o código para dificultar sua análise.

Quando Ferramentas Legítimas Se Tornam Armas

O carregador executa funções críticas, como estabelecer persistência no sistema e recuperar a próxima fase do malware, além de implementar verificações para evitar a detecção por ferramentas de segurança.

Na etapa final do ataque, os cibercriminosos utilizam uma técnica chamada "living-off-the-land". Isso significa que eles se aproveitam de ferramentas legítimas do sistema operacional para realizar atividades maliciosas.

No caso em questão, o MSBuild.exe - uma ferramenta da Microsoft usada para compilar aplicativos - é empregado para iniciar o Remcos RAT no computador da vítima. Além disso, scripts adicionais são programados para reativar o script VBS, garantindo que o malware permaneça em operação, mesmo que alguns componentes sejam desativados. Os pesquisadores estimam que esta campanha é extensa, visando principalmente ambientes corporativos e pequenas e médias empresas.

A técnica empregada preocupa, pois corresponde à atuação de corretores de acesso inicial, que comprometem sistemas e posteriormente vendem o acesso a outros grupos cibercriminosos, para que realizem ataques mais complexos, como ransomware ou roubo de dados.

O aspecto inovador desta campanha é a utilização de estágios intermediários baseados em texto simples, além da reconstrução dinâmica de código malicioso na memória do computador, utilizando PowerShell e um carregador protegido.

Essa estrutura foi meticulosamente planejada para dificultar a detecção por antivírus e a análise por especialistas em segurança. O design modular e bem mantido sugere que se trata de uma operação profissional com recursos significativos.

Como se Proteger

A Securonix recomenda algumas medidas para evitar ser afetado por ataques como esse:

• Aumentar a conscientização dos usuários sobre ameaças que envolvem scripts;
• Educar os colaboradores sobre os riscos de executar scripts baixados e alertar quanto a arquivos inesperados;
• Restringir ou monitorar a execução de scripts VBS, JS e PowerShell, especialmente aqueles de diretórios graváveis pelo usuário;
• Assegurar que soluções de Endpoint Detection and Response (EDR) possam detectar comportamentos suspeitos de interpretadores de scripts;
• Ativar o logging aprimorado do PowerShell para identificar atividades suspeitas;
• Verificar o uso inadequado de binários confiáveis, especialmente quando executados em contextos não usuais;
• Monitorar por atalhos suspeitos e tarefas agendadas que possam comprometer o sistema.

Essas práticas são essenciais para reforçar a segurança e mitigar possíveis ataques.

Acompanhe nossas atualizações para mais informações sobre segurança e tecnologia usando as nossas redes sociais e se inscrevendo em nossas newsletters.