Investigadores de ciberseguridad han revelado detalles de una nueva campaña llamada «SHADOW#REACTOR». La campaña utiliza una cadena de ataque evasiva de varias etapas para distribuir una herramienta de administración remota disponible comercialmente llamada Remcos RAT para establecer un acceso remoto persistente y encubierto.
«La cadena de infección sigue una ruta de ejecución estrechamente adaptada: un iniciador VBS ofuscado que se ejecuta a través de wscript.exe llama a un descargador de PowerShell para recuperar una carga útil basada en texto fragmentado desde un host remoto», dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe técnico compartido con The Hacker News.
«Estos fragmentos se vuelven a ensamblar en cargadores codificados, se decodifican en la memoria mediante ensamblajes protegidos por .NET Reactor y se usan para buscar y aplicar configuraciones remotas de Remcos. La etapa final aprovecha MSBuild.exe como un binario residente (LOLBin) para completar la ejecución. Luego, la puerta trasera Remcos RAT se implementa por completo para tomar el control del sistema comprometido».
Esta actividad se caracteriza por ser generalizada y oportunista, y está dirigida principalmente a entornos corporativos y de pequeñas empresas. Esta herramienta y arte comercial funciona con los típicos corredores de acceso temprano que se afianzan en un entorno objetivo y lo venden a otros actores para obtener ganancias financieras. Sin embargo, no hay evidencia de que pertenezca a ningún grupo de amenaza conocido.
El aspecto más inusual de esta campaña es su dependencia de una etapa intermedia de solo texto, combinada con el uso de un cargador reflectante asegurado con PowerShell y .NET Reactor para la reconstrucción en memoria, para implementar fases posteriores del ataque, con el objetivo de complicar los esfuerzos de detección y análisis.
La secuencia de infección comienza recuperando y ejecutando un script de Visual Basic ofuscado (‘win64.vbs’). Este script puede activarse mediante la interacción del usuario, como hacer clic en un enlace entregado a través de un señuelo diseñado socialmente. Este script se ejecuta utilizando ‘wscript.exe’ y actúa como un iniciador liviano para cargas útiles de PowerShell codificadas en Base64.
Luego, el script de PowerShell usa System.Net.WebClient para comunicarse con el mismo servidor usado para recuperar el archivo VBS y colocar una carga útil basada en texto llamada «qpwoe64.txt» (o «qpwoe32.txt» en sistemas de 32 bits) en el directorio %TEMP% de la máquina.
«Luego, el script ingresa en un bucle que verifica la existencia y el tamaño del archivo», explicó Securonix. «Si el archivo no se encuentra o está por debajo del umbral de longitud configurado (minLength), el stager pausa la ejecución y vuelve a descargar el contenido. Si el umbral no se alcanza dentro de la ventana de tiempo de espera definida (maxWait), la ejecución continúa sin terminar, evitando fallas en la cadena».
«Este mecanismo garantiza que los fragmentos de carga útil incompletos o corruptos no interrumpan inmediatamente la ejecución, fortaleciendo el diseño de autocuración de la campaña».
Si el archivo de texto cumple con los criterios relevantes, comenzará a crear un segundo script de PowerShell secundario (‘jdywa.ps1’) en el directorio %TEMP%. Esto lanza .NET Reactor Loader, que es responsable de establecer la persistencia, recuperar la siguiente etapa del malware e incorporar varias comprobaciones anti-depuración y anti-VM de forma encubierta.
El cargador finalmente lanza el malware Remcos RAT en el host comprometido utilizando el proceso legítimo de Microsoft Windows ‘MSBuild.exe’. El ataque también arroja un script contenedor de ejecución que utiliza ‘wscript.exe’ para reactivar la ejecución de ‘win64.vbs’.
«En conjunto, estos comportamientos indican la existencia de un marco de carga modular mantenido activamente diseñado para mantener las cargas útiles de Remcos portátiles, resistentes y difíciles de clasificar estáticamente», dijeron los investigadores. «La combinación de archivos intermedios de sólo texto, cargador de Reactor .NET en memoria y explotación de LOLBin refleja una estrategia deliberada para evitar una clasificación rápida por parte de firmas de antivirus, sandboxing y analistas».
Source link
