Novas campanhas furtivas de malware Remcos têm como alvo empresas e escolas

O X-Labs da Forcepoint revela que o malware Remcos utiliza novos e-mails de phishing enganosos de contas comprometidas e técnicas avançadas de evasão, como desvio de caminho, para se infiltrar em sistemas, roubar credenciais e manter o controle a longo prazo. Aprenda a identificar os sinais.

Especialistas em segurança cibernética do X-Labs da Forcepoint alertam sobre a atividade contínua do malware Remcos , uma ameaça sofisticada que se adapta constantemente para contornar as medidas de segurança e manter uma presença oculta nos computadores infectados. Esse malware, frequentemente disseminado por meio de ataques de phishing convincentes, permite que invasores estabeleçam acesso de longo prazo.

Segundo relatos, campanhas observadas entre 2024 e 2025 mostram que o malware Remcos continua altamente ativo, adaptando-se continuamente para permanecer oculto, observaram os pesquisadores na postagem do blog compartilhada com o Hackread.com.

A infecção inicial geralmente começa com um e-mail enganoso originado de contas comprometidas de pequenas empresas ou escolas. Essas contas são legítimas e foram hackeadas, fazendo com que os e-mails pareçam confiáveis ​​e menos propensos a serem sinalizados como suspeitos.

Esses e-mails contêm arquivos de atalho maliciosos do Windows (.LNK), disfarçados e escondidos em anexos compactados. Assim que o usuário cai no golpe e abre o arquivo malicioso, o Remcos se instala silenciosamente, criando pastas ocultas no computador da vítima.

O que torna essas pastas particularmente complicadas é que elas são "diretórios do Windows falsificados, explorando técnicas de desvio de análise de caminho, como prefixar caminhos com \\?". Essa técnica, que envolve o uso de um prefixo de caminho especial do NT Object Manager, permite que o malware imite diretórios legítimos do sistema, como C:\Windows\SysWOW64 , tornando-os incrivelmente difíceis de serem detectados por ferramentas de segurança.

Após a instalação inicial, o Remcos configura maneiras de permanecer no sistema por um longo período sem ser detectado. Ele consegue isso criando tarefas agendadas e outros métodos furtivos, garantindo que possa manter uma porta dos fundos aberta para invasores. O malware tenta até mesmo enfraquecer o Controle de Conta de Usuário (UAC) do Windows alterando uma configuração do registro, permitindo que ele seja executado com privilégios mais altos sem os prompts de segurança habituais.

Os próprios arquivos LNK maliciosos contêm código oculto do PowerShell , que baixa um arquivo .dat contendo um programa executável no formato Base64 – um método de codificação de dados para fazer com que pareçam texto normal, frequentemente usado por malware para ignorar a detecção.

Esse arquivo é então decodificado em um programa executável, normalmente disfarçado com um ícone de PDF, mas usando a extensão .pif, um tipo de arquivo de atalho incomum e raramente usado. Esse executável cria cópias de si mesmo, um arquivo de atalho .URL e quatro arquivos em lote fortemente disfarçados com símbolos especiais e texto estrangeiro sem sentido, todos projetados para contornar a detecção de antivírus.

Uma vez totalmente operacional, o Remcos dá aos invasores controle total, permitindo que eles roubem senhas, capturem capturas de tela, copiem arquivos e monitorem a atividade do usuário, incluindo a verificação da conexão de internet, do idioma do sistema e dos códigos de país para refinar sua segmentação.

Organizações e indivíduos devem ficar alertas, procurando atalhos incomuns, caminhos de arquivos estranhos e alterações em nomes de pastas, pois podem ser indicadores de uma infecção por Remcos.