Los investigadores de seguridad cibernética han arrojado luz sobre una nueva campaña de malware que hace uso de un cargador ShellCode basado en PowerShell para implementar un troyano de comunicación remoto llamado REMCOS RAT.
“Los actores de amenaza entregaron archivos LNK maliciosos integrados en los archivos ZIP, a menudo disfrazados de documentos de la oficina”, dijo el investigador de seguridad de Qualys, Akshay Thorve, en un noticia técnico. “La esclavitud de ataque aprovecha MSHTA.EXE para la ejecución de poder durante la etapa auténtico”.
La última ola de ataques, según lo detallado por Qualys, emplea señuelos relacionados con los impuestos para atraer a los usuarios a cascar un archivo de cremallera maliciosa que contiene un archivo de comunicación directo (LNK) de Windows, que, a su vez, hace uso de MSHTA.exe, una utensilio legítima de Microsoft utilizada para ejecutar aplicaciones HTML (HTA).
El binario se utiliza para ejecutar un archivo HTA ofuscado llamado “XLAB22.HTA” alojado en un servidor remoto, que incorpora el código de script de Visual Basic para descargar un script de PowerShell, un PDF señuelo y otro archivo HTA similar a XLAB22.HTA llamado “311.hta”. El archivo HTA además está configurado para realizar modificaciones del Registro de Windows para respaldar que “311.hta” se inicie automáticamente al inicio del sistema.
Una vez que se ejecuta el script PowerShell, decodifica y reconstruye un cargador de shellcode que finalmente procede a iniciar la carga útil REMCOS RAT por completo en la memoria.
REMCOS RAT es un malware adecuadamente conocido que ofrece a los actores de amenaza control total sobre los sistemas comprometidos, lo que la convierte en una utensilio ideal para el espionaje cibernético y el robo de datos. Un binario de 32 bits compilado con Visual Studio C ++ 8, presenta una estructura modular y puede resumir metadatos del sistema, pulsaciones de registro de teclas, capturar capturas de pantalla, monitorear los datos del portapapeles y recuperar una registro de todos los programas instalados y procesos en ejecución.
Adicionalmente, establece una conexión TLS a un servidor de comando y control (C2) en “ReadySteaurants (.) Com”, manteniendo un canal persistente para la exfiltración y control de datos.
Esta no es la primera vez que las versiones sin archivo de REMCOS RAT se han conocido en la naturaleza. En noviembre de 2024, Fortinet Fortiguard Labs detalló una campaña de phishing que desplegó sin fila el malware haciendo uso de señuelos con temática de pedidos.
Lo que hace que el método de ataque sea atractivo para los actores de amenaza es que les permite intervenir sin ser detectados por muchas soluciones de seguridad tradicionales a medida que el código ladino se ejecuta directamente en la memoria de la computadora, dejando muy pocas rastros en el disco.
“El surgimiento de los ataques basados en PowerShell como la nueva reforma REMCOS RAT demuestra cómo los actores de amenaza están evolucionando para sortear las medidas de seguridad tradicionales”, dijo J Stephen Kowski, CTO de campo de SlashNext.
“Este malware sin archivo opera directamente en la memoria, utilizando archivos LNK y mshta.exe para ejecutar scripts de PowerShell ofuscos que pueden evitar las defensas convencionales. Seguridad de correo electrónico avanzadilla que puede detectar y asediar accesorios de LNK maliciosos ayer de ascender a los usuarios es crucial, al igual que el escaneo en tiempo vivo de los comandos de PowerShell para comportamientos sospechosos”.
La divulgación se produce cuando Palo Suspensión Networks Dispositivo 42 y Threatray detalló un nuevo cargador .NET que se utiliza para detonar una amplia abanico de robadores de información y ratas como el Agente Tesla, Novastealer, REMCOS RAT, Vipkeylogger, XLoader y XWorm.
El cargador presenta tres etapas que funcionan en conjunto para implementar la carga útil de la etapa final: A .NET Ejecutable que incrusta las etapas segunda y tercera en forma encriptada, una DLL .NET que descifra y carga la sucesivo etapa, y una DLL .NET que administra la implementación del malware principal.
“Si adecuadamente las versiones anteriores incorporaron la segunda etapa como una esclavitud codificada, las versiones más recientes usan un solicitud de plano de bits”, dijo Threatray. “La primera etapa extrae y descifra estos datos, luego los ejecuta en la memoria para propalar la segunda etapa”.
La Dispositivo 42 describió el uso de medios de plano de bits para ocultar la técnica de esteganografía AA de las cargas maliciosas que puede evitar los mecanismos de seguridad tradicionales y sortear la detección.
Los hallazgos además coinciden con la aparición de varias campañas de phishing e ingeniería social que están diseñadas para el robo de credenciales y la entrega de malware –
- Uso de versiones troyanizadas del software Keepass Password Management, con nombre en código Keeloader, para soltar una baliza de Strike Cobalt y robar datos de pulvínulo de datos Sensitive SableS, incluidas las credenciales administrativas. Los instaladores maliciosos están alojados en los dominios Keepass TymoSquat que se sirven a través de anuncios de Bing.
- Uso de señuelos y URL de ClickFix incrustados en documentos PDF y una serie de URL intermediarias de goteo para implementar Lumma Stealer.
- Uso de documentos de Microsoft Office de Microsoft que se utilizan para implementar el robador de información de Formbook protegido utilizando un servicio de distribución de malware denominado Horus Protector.
- El uso de URIS Blob para cargar localmente una página de phishing de credencial a través de correos electrónicos de phishing, con los URI de blob atendidos utilizando páginas que cotizan en cadeneta (por ejemplo, OneDrive.live (.) Com) que se abusan de redirigir a las víctimas a un sitio ladino que contiene un enlace a una página HTML amenazada de amenazas.
- Uso de archivos de rar disfrazados de archivos de configuración para distribuir NetSupport Rat en ataques dirigidos a Ucrania y Polonia.
- Uso de correos electrónicos de phishing para distribuir archivos adjuntos HTML que contienen código ladino para capturar las perspectivas de las víctimas, las credenciales de Hotmail y Gmail y los exfiltran a un bot de telegrama llamado “Benditos registros” que ha estado activo desde febrero de 2025
Los desarrollos además se han complementado con el aumento de las campañas de inteligencia industrial (IA) que aprovechan los trucos polimórficos que mutan en tiempo vivo para evitar los esfuerzos de detección. Estos incluyen modificar las líneas de asunto de correo electrónico, los nombres de los remitentes y el contenido del cuerpo para ocurrir la detección basada en la firma.
“La IA dio a los actores de amenaza el poder de automatizar el exposición de malware, los ataques a escalera entre las industrias y personalizar los mensajes de phishing con precisión quirúrgica”, dijo Cofense.
“Estas amenazas en proceso son cada vez más capaces de evitar los filtros de correo electrónico tradicionales, destacando el fracaso de las defensas periméteres solo y la exigencia de la detección posterior a la entrega. Además les permitió exceder las defensas tradicionales a través de campañas de phishing polimórfica que cambian contenido sobre la mosca. El resultado: mensajes engañosos que son cada vez más difíciles de detectar e incluso difíciles de detener”.
