La campaña identificada como SHADOW#REACTOR distribuye el Remcos RAT, un troyano de acceso remoto ampliamente usado para espionaje, robo de información y control total del sistema comprometido.
El malware se entrega mediante una cadena de infección por múltiples etapas, diseñada para evadir soluciones de seguridad tradicionales.
Inicia con un script VBS altamente ofuscado que ejecuta PowerShell para descargar cargas útiles fragmentadas.
Estas piezas se reconstruyen y descifran en memoria utilizando un ensamblado .NET protegido con .NET Reactor, y finalmente se ejecuta el payload usando MSBuild.exe, una herramienta legítima de Windows, lo que dificulta su detección y análisis.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
El ataque comienza cuando la víctima ejecuta un archivo o enlace malicioso, lo que activa un script VBS disfrazado como contenido legítimo. Este script lanza comandos PowerShell que descargan múltiples archivos de texto desde un servidor controlado por el atacante.
Posteriormente, los archivos se combinan y decodifican en memoria sin escribir directamente el malware en disco. El uso de binarios confiables de Windows (living-off-the-land) permite que Remcos RAT se ejecute de forma sigilosa, establezca persistencia y se comunique con su servidor de comando y control.
El resultado es un acceso oculto y persistente al sistema víctima mediante Remcos, un paquete comercial de administración remota usado de forma maliciosa.
La técnica modular, evasiva y basada en memoria facilita a los atacantes mantener el control sobre la máquina y evadir las defensas tradicionales.
