Los investigadores de seguridad cibernética han arrojado luz sobre una nueva campaña de malware que hace uso de un cargador ShellCode basado en PowerShell para implementar un troyano de ataque remoto llamado REMCOS RAT.
«Los actores de amenaza entregaron archivos LNK maliciosos integrados en los archivos ZIP, a menudo disfrazados de documentos de la oficina», dijo el investigador de seguridad de Qualys, Akshay Thorve, en un crónica técnico. «La condena de ataque aprovecha MSHTA.EXE para la ejecución de poder durante la etapa auténtico».
La última ola de ataques, según lo detallado por Qualys, emplea señuelos relacionados con los impuestos para atraer a los usuarios a destapar un archivo de cremallera maliciosa que contiene un archivo de ataque directo (LNK) de Windows, que, a su vez, hace uso de MSHTA.exe, una útil legítima de Microsoft utilizada para ejecutar aplicaciones HTML (HTA).
El binario se utiliza para ejecutar un archivo HTA ofuscado llamado «XLAB22.HTA» alojado en un servidor remoto, que incorpora el código de script de Visual Basic para descargar un script de PowerShell, un PDF señuelo y otro archivo HTA similar a XLAB22.HTA llamado «311.hta». El archivo HTA asimismo está configurado para realizar modificaciones del Registro de Windows para certificar que «311.hta» se inicie automáticamente al inicio del sistema.
Una vez que se ejecuta el script PowerShell, decodifica y reconstruye un cargador de shellcode que finalmente procede a iniciar la carga útil REMCOS RAT por completo en la memoria.
REMCOS RAT es un malware aceptablemente conocido que ofrece a los actores de amenaza control total sobre los sistemas comprometidos, lo que la convierte en una útil ideal para el espionaje cibernético y el robo de datos. Un binario de 32 bits compilado con Visual Studio C ++ 8, presenta una estructura modular y puede resumir metadatos del sistema, pulsaciones de registro de teclas, capturar capturas de pantalla, monitorear los datos del portapapeles y recuperar una tira de todos los programas instalados y procesos en ejecución.
Adicionalmente, establece una conexión TLS a un servidor de comando y control (C2) en «ReadySteaurants (.) Com», manteniendo un canal persistente para la exfiltración y control de datos.
Esta no es la primera vez que las versiones sin archivo de REMCOS RAT se han trillado en la naturaleza. En noviembre de 2024, Fortinet Fortiguard Labs detalló una campaña de phishing que desplegó sin fila el malware haciendo uso de señuelos con temática de pedidos.
Lo que hace que el método de ataque sea atractivo para los actores de amenaza es que les permite intervenir sin ser detectados por muchas soluciones de seguridad tradicionales a medida que el código solapado se ejecuta directamente en la memoria de la computadora, dejando muy pocas rastros en el disco.
«El surgimiento de los ataques basados en PowerShell como la nueva modificación REMCOS RAT demuestra cómo los actores de amenaza están evolucionando para escamotear las medidas de seguridad tradicionales», dijo J Stephen Kowski, CTO de campo de SlashNext.
«Este malware sin archivo opera directamente en la memoria, utilizando archivos LNK y mshta.exe para ejecutar scripts de PowerShell ofuscos que pueden evitar las defensas convencionales. Seguridad de correo electrónico destacamento que puede detectar y circunvalar accesorios de LNK maliciosos ayer de conmover a los usuarios es crucial, al igual que el escaneo en tiempo verdadero de los comandos de PowerShell para comportamientos sospechosos».
La divulgación se produce cuando Palo Suspensión Networks Pelotón 42 y Threatray detalló un nuevo cargador .NET que se utiliza para detonar una amplia gradación de robadores de información y ratas como el Agente Tesla, Novastealer, REMCOS RAT, Vipkeylogger, XLoader y XWorm.
El cargador presenta tres etapas que funcionan en conjunto para implementar la carga útil de la etapa final: A .NET Ejecutable que incrusta las etapas segunda y tercera en forma encriptada, una DLL .NET que descifra y carga la venidero etapa, y una DLL .NET que administra la implementación del malware principal.
«Si aceptablemente las versiones anteriores incorporaron la segunda etapa como una condena codificada, las versiones más recientes usan un arbitrio de plano de bits», dijo Threatray. «La primera etapa extrae y descifra estos datos, luego los ejecuta en la memoria para difundir la segunda etapa».
La Pelotón 42 describió el uso de bienes de plano de bits para ocultar la técnica de esteganografía AA de las cargas maliciosas que puede evitar los mecanismos de seguridad tradicionales y escamotear la detección.
Los hallazgos asimismo coinciden con la aparición de varias campañas de phishing e ingeniería social que están diseñadas para el robo de credenciales y la entrega de malware –
- Uso de versiones troyanizadas del software Keepass Password Management, con nombre en código Keeloader, para soltar una baliza de Strike Cobalt y robar datos de pulvínulo de datos Sensitive SableS, incluidas las credenciales administrativas. Los instaladores maliciosos están alojados en los dominios Keepass TymoSquat que se sirven a través de anuncios de Bing.
- Uso de señuelos y URL de ClickFix incrustados en documentos PDF y una serie de URL intermediarias de contornos para implementar Lumma Stealer.
- Uso de documentos de Microsoft Office de Microsoft que se utilizan para implementar el robador de información de Formbook protegido utilizando un servicio de distribución de malware denominado Horus Protector.
- El uso de URIS Blob para cargar localmente una página de phishing de credencial a través de correos electrónicos de phishing, con los URI de blob atendidos utilizando páginas que cotizan en segmento (por ejemplo, OneDrive.live (.) Com) que se abusan de redirigir a las víctimas a un sitio solapado que contiene un enlace a una página HTML amenazada de amenazas.
- Uso de archivos de rar disfrazados de archivos de configuración para distribuir NetSupport Rat en ataques dirigidos a Ucrania y Polonia.
- Uso de correos electrónicos de phishing para distribuir archivos adjuntos HTML que contienen código solapado para capturar las perspectivas de las víctimas, las credenciales de Hotmail y Gmail y los exfiltran a un bot de telegrama llamado «Benditos registros» que ha estado activo desde febrero de 2025
Los desarrollos asimismo se han complementado con el aumento de las campañas de inteligencia sintético (IA) que aprovechan los trucos polimórficos que mutan en tiempo verdadero para evitar los esfuerzos de detección. Estos incluyen modificar las líneas de asunto de correo electrónico, los nombres de los remitentes y el contenido del cuerpo para acaecer la detección basada en la firma.
«La IA dio a los actores de amenaza el poder de automatizar el explicación de malware, los ataques a escalera entre las industrias y personalizar los mensajes de phishing con precisión quirúrgica», dijo Cofense.
«Estas amenazas en crecimiento son cada vez más capaces de evitar los filtros de correo electrónico tradicionales, destacando el fracaso de las defensas periméteres solo y la carestia de la detección posterior a la entrega. Asimismo les permitió exceder las defensas tradicionales a través de campañas de phishing polimórfica que cambian contenido sobre la mosca. El resultado: mensajes engañosos que son cada vez más difíciles de detectar e incluso difíciles de detener».
