Investigadores de ciberseguridad han revelado detalles de una nueva campaña denominada SOMBRA#REACTOR que emplea una dependencia de ataque evasiva de varias etapas para ofrecer una aparejo de dependencia remota arreglado comercialmente convocatoria Remcos RAT y establecer un paso remoto persistente y encubierto.
“La dependencia de infección sigue una ruta de ejecución estrechamente orquestada: un iniciador VBS ofuscado ejecutado a través de wscript.exe invoca un descargador de PowerShell, que recupera cargas efectos fragmentadas basadas en texto de un host remoto”, dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un mensaje técnico compartido con The Hacker News.
“Estos fragmentos se reconstruyen en cargadores codificados, se decodifican en la memoria mediante un ensamblaje protegido por .NET Reactor y se utilizan para despabilarse y aplicar una configuración remota de Remcos. La etapa final aprovecha MSBuild.exe como un binario que vive de la tierra (LOLBin) para completar la ejecución, a posteriori de lo cual la puerta trasera Remcos RAT se implementa por completo y toma el control del sistema comprometido”.
Se considera que la actividad es amplia y oportunista y se dirige principalmente a entornos empresariales y de pequeñas y medianas empresas. Las herramientas y el oficio se alinean con los típicos intermediarios de paso auténtico, que obtienen puntos de apoyo para los entornos objetivo y los venden a otros actores para obtener ganancias financieras. Dicho esto, no hay evidencia que lo atribuya a un camarilla de amenaza conocido.
El aspecto más inusual de la campaña es la dependencia de etapas intermedias de solo texto, adjunto con el uso de PowerShell para la reconstrucción en memoria y un cargador reflectante protegido por .NET Reactor, para descomprimir las fases posteriores del ataque con el objetivo de complicar los esfuerzos de detección y examen.
La secuencia de infección comienza con la recuperación y ejecución de un script de Visual Basic ofuscado (“win64.vbs”) que probablemente se activa mediante la interacción del usufructuario, como al hacer clic en un enlace entregado a través de señuelos diseñados socialmente. El script, que se ejecuta usando “wscript.exe”, funciona como un iniciador superficial para una carga útil de PowerShell codificada en Base64.
Luego, el script de PowerShell emplea System.Net.WebClient para comunicarse con el mismo servidor utilizado para recuperar el archivo VBS y colocar una carga útil basada en texto convocatoria “qpwoe64.txt” (o “qpwoe32.txt” para sistemas de 32 bits) en el directorio %TEMP% de la máquina.
“Luego, el script ingresa en un rizo donde valida la existencia y el tamaño del archivo”, explicó Securonix. “Si el archivo error o está por debajo del origen de largo configurado (minLength), el proscenio pausa la ejecución y vuelve a descargar el contenido. Si el origen no se alcanza adentro de la ventana de tiempo de retraso definida (maxWait), la ejecución continúa sin terminar, evitando fallas en la dependencia”.
“Este mecanismo garantiza que los fragmentos de carga útil incompletos o corruptos no interrumpan inmediatamente la ejecución, lo que refuerza el diseño de autocuración de la campaña”.
Si el archivo de texto cumple con los criterios relevantes, procede a construir un segundo script PowerShell secundario (“jdywa.ps1”) en el directorio %TEMP%, que invoca un .NET Reactor Loader que es responsable de establecer la persistencia, recuperar el malware de la sucesivo etapa e incorporar varias comprobaciones anti-depuración y anti-VM para sobrevenir desapercibido.
En última instancia, el cargador alabarda el malware Remcos RAT en el host comprometido mediante un proceso razonable de Microsoft Windows, “MSBuild.exe”. Asimismo se eliminaron durante el transcurso del ataque scripts contenedores de ejecución para reactivar la ejecución de “win64.vbs” usando “wscript.exe”.
“En conjunto, estos comportamientos indican un entorno de carga modular y mantenido activamente diseñado para sostener la carga útil de Remcos portátil, resistente y difícil de clasificar estáticamente”, señalaron los investigadores. “La combinación de intermediarios de sólo texto, cargadores de .NET Reactor en memoria y atropello de LOLBin refleja una táctica deliberada para frustrar las firmas de antivirus, los entornos aislados y la clasificación rápida de los analistas”.
