Investigadores de ciberseguridad han revelado detalles de una nueva campaña llamada “La Ciberseguridad”. SOMBRA #REACTOR que utiliza una cadena de ataque evasiva de varias etapas para implementar una herramienta de administración remota disponible comercialmente llamada Remcos RAT y establecer un acceso remoto encubierto y persistente.
“La cadena de infección sigue una ruta de ejecución estrechamente orquestada: un iniciador VBS ofuscado que se ejecuta a través de wscript.exe invoca un descargador de PowerShell que recupera cargas útiles fragmentadas basadas en texto de un host remoto”, dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe técnico compartido con The Hacker News.
“Estos fragmentos se reconstruyen en cargadores codificados, se decodifican en la memoria mediante un ensamblaje protegido por .NET Reactor y se utilizan para recuperar y aplicar una configuración remota de Remcos. En la fase final, MSBuild.exe se aprovecha como un binario Living-Off-the-Land (LOLBin) para completar la ejecución. Luego, la puerta trasera Remcos RAT se implementa por completo y toma el control del sistema comprometido”.
La actividad se considera amplia y oportunista y está dirigida principalmente a empresas y pequeñas y medianas empresas. Las herramientas y la artesanía se basan en los típicos corredores de primera entrada que se afianzan en los entornos de destino y los venden a otros jugadores por motivos financieros. Sin embargo, no hay evidencia de que se trate de un grupo de amenazas conocido.
El aspecto más inusual de la campaña es el uso de intermediarios de texto plano, junto con el uso de PowerShell para la reconstrucción en memoria y un cargador reflectante protegido por .NET Reactor para descomprimir las fases posteriores del ataque, con el objetivo de complicar los esfuerzos de detección y análisis.
La secuencia de infección comienza con la recuperación y ejecución de un script de Visual Basic ofuscado (“win64.vbs”), que probablemente se activa mediante la interacción del usuario, como hacer clic en un enlace proporcionado a través de señuelos de ingeniería social. El script ejecutado con wscript.exe actúa como un iniciador simple para una carga útil de PowerShell codificada en Base64.
Luego, el script de PowerShell usa System.Net.WebClient para comunicarse con el mismo servidor que se usó para recuperar el archivo VBS y coloca una carga útil basada en texto llamada qpwoe64.txt (o qpwoe32.txt para sistemas de 32 bits) en el directorio %TEMP% de la máquina.
“Luego, el script ingresa en un bucle donde verifica la existencia y el tamaño del archivo”, explicó Securonix. “Si el archivo falta o está por debajo del umbral de longitud configurado (minLength), el stager pausa la ejecución y descarga el contenido nuevamente. Si no se alcanza el umbral dentro de la ventana de tiempo de espera definida (maxWait), la ejecución continúa sin terminar, evitando una falla en la cadena”.
“Este mecanismo garantiza que los fragmentos de carga útil incompletos o corruptos no interrumpan inmediatamente la ejecución, fortaleciendo el diseño de autocuración de la campaña”.
Si el archivo de texto cumple con los criterios relevantes, procede a crear un segundo script PowerShell secundario (“jdywa.ps1”) en el directorio %TEMP% que invoca un cargador .NET Reactor responsable de establecer la persistencia, buscar malware de la siguiente etapa e integrar varias comprobaciones anti-depuración y anti-VM para permanecer fuera del radar.
El cargador finalmente lanza el malware Remcos RAT en el host comprometido utilizando un proceso legítimo de Microsoft Windows, “MSBuild.exe”. Durante el ataque, también se eliminaron scripts de ejecución para reactivar la ejecución de win64.vbs usando wscript.exe.
“En conjunto, estos comportamientos indican un marco de carga modular y mantenido activamente diseñado para clasificar la carga útil de Remcos como portátil, resistente y estáticamente pesada”, señalaron los investigadores. “La combinación de intermediarios de texto sin formato, cargadores de .NET Reactor en memoria y abuso de LOLBin refleja una estrategia deliberada para frustrar las firmas de antivirus, los entornos aislados y la clasificación rápida de los analistas”.
About The Author
