Un ataque RAT de Remcos sin archivos evade el antivirus mediante scripts de PowerShell

Una nueva ola de ataques utiliza archivos PowerShell y LNK para instalar secretamente Remcos RAT, lo que permite el control remoto completo y la vigilancia de los sistemas infectados.

Los expertos en ciberseguridad de la Unidad de Investigación de Amenazas de Qualys (TRU) descubrieron recientemente un sofisticado ciberataque que utiliza el lenguaje de scripting PowerShell para instalar en secreto Remcos RAT (troyano de acceso remoto).

Este método permite a los atacantes operar sin ser detectados por muchos programas antivirus tradicionales porque el código malicioso se ejecuta directamente en la memoria de la computadora, dejando muy pocos rastros en el disco duro.

Para su información, Remcos RAT es una potente herramienta que los ciberdelincuentes utilizan para obtener el control total de los equipos infectados. Una vez instalado, les permite espiar a sus víctimas, robar datos y realizar otras acciones dañinas.

Según el análisis de Qualys TRU, el ataque comienza cuando un usuario abre un archivo dañino dentro de un archivo ZIP, new-tax311.ZIP, que contiene un acceso directo 'new-tax311.lnk'. Al hacer clic en este archivo .LNK, no se abre un programa normal. En su lugar, utiliza una herramienta de Windows llamada 'mshta.exe' para ejecutar un script de PowerShell confuso (ofuscado).

Este script prepara el equipo para la infección con Remcos RAT. Primero, intenta debilitar Windows Defender pidiéndole que ignore la carpeta "C:/Users/Public/". También modifica la configuración de PowerShell para permitir la ejecución de scripts inseguros sin previo aviso e intenta ejecutarse de forma oculta. Para garantizar que Remcos RAT se inicie cada vez que se enciende el equipo, el script agrega información al Registro de Windows.

El script también descarga varios archivos a la carpeta "C:/Users/Public/" . Uno podría ser un archivo falso e inofensivo como pp1.pdf. También descarga dos archivos clave: 311.hta (configurado para ejecutarse al inicio y similar a ' xlab22.hta') y '24 24.ps1.' El archivo '24 24.ps1 ' es el script principal y oculto de PowerShell que contiene Remcos RAT. Este script utiliza funciones especiales de Windows (API de Win32) para cargar y ejecutar Remcos RAT directamente en la memoria del equipo, evitando la detección de la seguridad basada en archivos.

El Remcos RAT TRU analizado por los investigadores es un programa de 32 bits V6.0.0 diseñado para ser sigiloso y otorgar a los atacantes control sobre los equipos infectados. Su diseño modular significa que consta de diferentes partes que pueden realizar distintas tareas. El programa también almacena datos cifrados, que descifra cuando es necesario.

Estos datos cifrados contienen la dirección del servidor remoto al que se conecta ( readysteaurantscom en el puerto 2025 usando una conexión segura llamada TLS), el nombre del malware (Remcos) y un código especial ( Rmc-7SY4AX ) que utiliza para identificar si la computadora ya está infectada.

Remcos puede realizar diversas acciones dañinas, como registrar las pulsaciones de teclas, copiar el contenido del portapapeles, tomar capturas de pantalla, grabar desde micrófonos y cámaras web, y robar información del usuario. También intenta impedir que los programas de seguridad la analicen.

El equipo de Qualys TRU enfatiza que los usuarios deben activar el registro de PowerShell y el monitoreo de AMSI (una característica de Windows que ayuda a detectar scripts maliciosos) y utilizar una solución EDR (Endpoint Detection and Response) sólida para una mejor protección.

En un comentario a Hackread.com, Xiaopeng Zhang , analista de IPS e investigador de seguridad de FortiGuard Labs de Fortinet, declaró : « Los atacantes responsables de Remcos están evolucionando sus tácticas. En lugar de explotar la vulnerabilidad CVE-2017-0199 mediante archivos adjuntos maliciosos de Excel, ahora utilizan archivos LNK engañosos camuflados con iconos PDF para inducir a las víctimas a ejecutar un archivo HTA malicioso » .

Xiaopeng advirtió que « PowerShell sigue desempeñando un papel importante en la campaña. Sin embargo, la última variante adopta un enfoque sin archivos, utilizando PowerShell para analizar y ejecutar Remcos directamente en memoria mediante la API CallWindowProc(). Esto marca un cambio con respecto a los métodos anteriores, donde Remcos se descargaba como archivo antes de su ejecución » .