Nuevas campañas de malware sigilosas de Remcos se dirigen a empresas y escuelas

X-Labs de Forcepoint revela malware Remcos que utiliza nuevos correos electrónicos engañosos de phishing de cuentas comprometidas y técnicas avanzadas de evasión, como la omisión de rutas, para infiltrarse en los sistemas, robar credenciales y mantener el control a largo plazo. Aprenda a detectar las señales.

Los expertos en ciberseguridad de los X-Labs de Forcepoint advierten sobre la actividad continua del malware Remcos , una sofisticada amenaza que se adapta constantemente para eludir las medidas de seguridad y mantener una presencia oculta en los equipos infectados. Este malware, que a menudo se distribuye mediante convincentes ataques de phishing, permite a los atacantes establecer acceso a largo plazo.

Según se informa, las campañas observadas entre 2024 y 2025 muestran que el malware Remcos sigue siendo muy activo y se adapta continuamente para permanecer oculto, señalaron los investigadores en la publicación del blog compartida con Hackread.com.

La infección inicial suele comenzar con un correo electrónico engañoso procedente de cuentas comprometidas de pequeñas empresas o escuelas. Se trata de cuentas legítimas que han sido hackeadas, lo que hace que los correos electrónicos parezcan confiables y menos propensos a ser marcados como sospechosos.

Estos correos electrónicos contienen archivos maliciosos de acceso directo de Windows (.LNK), camuflados y ocultos en archivos adjuntos comprimidos. Una vez que el usuario cae en la trampa y abre el archivo malicioso, Remcos se instala silenciosamente, creando carpetas ocultas en el ordenador de la víctima.

Lo que hace que estas carpetas sean particularmente complicadas es que son "directorios de Windows falsificados mediante la explotación de técnicas de omisión de análisis de rutas como el prefijo \\?". Esta técnica, que implica el uso de un prefijo de ruta especial del Administrador de objetos de NT, permite que el malware imite directorios de sistema legítimos como C:\Windows\SysWOW64 , lo que dificulta enormemente su detección por parte de las herramientas de seguridad.

Tras la instalación inicial, Remcos configura métodos para permanecer en el sistema durante mucho tiempo sin ser detectado. Lo consigue mediante la creación de tareas programadas y otros métodos ocultos, lo que le permite mantener una puerta trasera abierta para los atacantes. El malware incluso intenta debilitar el Control de Cuentas de Usuario (UAC) de Windows modificando una configuración del registro, lo que le permite ejecutarse con mayores privilegios sin las habituales indicaciones de seguridad.

Los archivos LNK maliciosos contienen código PowerShell oculto, que descarga un archivo .dat que contiene un programa ejecutable en formato Base64, un método de codificación de datos para que parezcan texto normal, que suele utilizar el malware para evitar la detección.

Este archivo se decodifica en un programa ejecutable, generalmente camuflado con un icono PDF, pero con la extensión .pif, un tipo de archivo de acceso directo inusual y poco común. Este ejecutable crea copias de sí mismo, un archivo de acceso directo .URL y cuatro archivos por lotes muy camuflados con símbolos especiales y texto extraño sin sentido, todos diseñados para eludir la detección del antivirus.

Una vez en pleno funcionamiento, Remcos otorga a los atacantes control total, lo que les permite robar contraseñas, capturar capturas de pantalla, copiar archivos y monitorear la actividad del usuario, incluyendo la verificación de la conexión a Internet, el idioma del sistema y los códigos de país para refinar su segmentación.

Se insta a las organizaciones y a las personas a estar alerta y buscar accesos directos inusuales, rutas de archivos extrañas y cambios en los nombres de las carpetas, ya que pueden ser indicadores de una infección de Remcos.