Pesquisadores de cibersegurança revelaram detalhes sobre uma nova campanha de malware que utiliza um carregador de shellcode baseado em PowerShell para implantar um trojan de acesso remoto chamado Remcos RAT.
"Atores de ameaças entregaram arquivos LNK maliciosos embutidos dentro de arquivos ZIP, muitas vezes disfarçados como documentos do Office", disse o pesquisador de segurança da Qualys, Akshay Thorve, em um relatório técnico.
A cadeia de ataques tira proveito do mshta.exe para execução por proxy durante a fase inicial.
A mais recente onda de ataques, conforme detalhada pela Qualys, emprega iscas relacionadas a impostos para atrair usuários a abrirem um arquivo ZIP malicioso contendo um arquivo de atalho do Windows (LNK), que, por sua vez, faz uso do mshta.exe, uma ferramenta legítima da Microsoft usada para executar Aplicações HTML (HTA).
O binário é usado para executar um arquivo HTA ofuscado chamado "xlab22.hta" hospedado em um servidor remoto, que incorpora código de Script Visual Basic para baixar um script de PowerShell, um PDF isca e outro arquivo HTA semelhante ao xlab22.hta chamado "311.hta".
O arquivo HTA também é configurado para fazer modificações no Registro do Windows para garantir que o "311.hta" seja automaticamente lançado ao iniciar o sistema.
Uma vez que o script de PowerShell é executado, ele decodifica e reconstrói um carregador de shellcode que, em última análise, procede à execução do payload Remcos RAT inteiramente na memória.
Remcos RAT é um malware bem conhecido que oferece aos atores de ameaças controle total sobre sistemas comprometidos, tornando-o uma ferramenta ideal para ciberespionagem e roubo de dados.
Um binário de 32 bits compilado usando Visual Studio C++ 8, ele apresenta uma estrutura modular e pode coletar metadados do sistema, registrar teclas digitadas, capturar capturas de tela, monitorar dados da área de transferência e recuperar uma lista de todos os programas instalados e processos em execução.
Além disso, estabelece uma conexão TLS com um servidor de comando e controle (C2) em "readysteaurants[.]com", mantendo um canal persistente para exfiltração de dados e controle.
Esta não é a primeira vez que versões fileless do Remcos RAT foram identificadas no ambiente.
Em novembro de 2024, a Fortinet FortiGuard Labs detalhou uma campanha de phishing que implantou o malware de maneira fileless, utilizando iscas temáticas de pedidos.
O que torna o método de ataque atraente para os atores de ameaças é que ele permite que operem sem ser detectados por muitas soluções de segurança tradicionais, pois o código malicioso é executado diretamente na memória do computador, deixando pouquíssimos rastros no disco.
"O aumento de ataques baseados em PowerShell como a nova variante do Remcos RAT demonstra como os atores de ameaças estão evoluindo para evadir medidas de segurança tradicionais", disse J Stephen Kowski, CTO de Campo na SlashNext.
Este malware fileless opera diretamente na memória, utilizando arquivos LNK e o MSHTA.exe para executar scripts de PowerShell ofuscados que podem contornar defesas convencionais.
Segurança avançada de email, capaz de detectar e bloquear anexos LNK maliciosos antes de chegarem aos usuários, é crucial, assim como a varredura em tempo real de comandos de PowerShell para comportamentos suspeitos.
A divulgação ocorre enquanto a Palo Alto Networks Unit 42 e a Threatray detalharam um novo carregador .NET usado para detonar uma ampla gama de ladrões de informações e RATS como Agent Tesla, NovaStealer, Remcos RAT, VIPKeylogger, XLoader e XWorm.
O carregador apresenta três estágios que trabalham em conjunto para implantar a carga útil do estágio final: um executável .NET que incorpora os segundo e terceiro estágios em forma criptografada, uma .NET DLL que descriptografa e carrega o próximo estágio, e uma .NET DLL que gerencia a implantação do malware principal.
"Enquanto versões anteriores incorporavam o segundo estágio como uma string codificada, versões mais recentes usam um recurso de bitmap", disse a Threatray.
O primeiro estágio extrai e descriptografa esses dados, em seguida, executa-os na memória para lançar o segundo estágio.
A Unit 42 descreveu o uso de recursos de bitmap para ocultar payloads maliciosos como uma técnica de esteganografia capaz de burlar mecanismos de segurança tradicionais e evadir a detecção.
Os achados também coincidem com o surgimento de várias campanhas de phishing e engenharia social projetadas para roubo de credenciais e entrega de malwares:
Uso de versões trojanizadas do software de gerenciamento de senhas KeePass – codinome KeeLoader – para soltar um beacon Cobalt Strike e roubar dados sensíveis do banco de dados KeePass, incluindo credenciais administrativas.
Os instaladores maliciosos estão hospedados em domínios de typosquat do KeePass que são veiculados via anúncios do Bing.
Uso de iscas ClickFix e URLs embutidos dentro de documentos PDF e uma série de URLs intermediários de droppers para implantar Lumma Stealer.
Uso de documentos Microsoft Office armadilhados que são usados para implantar o ladrão de informações Formbook protegido usando um serviço de distribuição de malwares referido como Horus Protector.
Uso de URIs de blob para carregar localmente uma página de phishing de credenciais via e-mails de phishing, com as URIs de blob servidas usando páginas permitidas na lista (por exemplo, onedrive.live[.]com) que são abusadas para redirecionar vítimas para um site malicioso que contém um link para uma página HTML controlada por atores de ameaça.
Uso de arquivos RAR disfarçados como arquivos de instalação para distribuir NetSupport RAT em ataques direcionados à Ucrânia e Polônia.
Uso de e-mails de phishing para distribuir anexos HTML que contêm código malicioso para capturar credenciais de Outlook, Hotmail e Gmail das vítimas e exfiltrá-los para um bot do Telegram chamado "Blessed logs" que está ativo desde fevereiro de 2025
Os desenvolvimentos também foram complementados pela ascensão em campanhas alimentadas por inteligência artificial (AI) que aproveitam truques polimórficos que mutam em tempo real para evitar esforços de detecção.
Estes incluem modificar linhas de assunto de e-mail, nomes de remetentes e conteúdo do corpo para passar por detecção baseada em assinatura.
"A AI deu aos atores de ameaças o poder de automatizar o desenvolvimento de malwares, escalar ataques em setores e personalizar mensagens de phishing com precisão cirúrgica", disse a Cofense.
Essas ameaças evolutivas estão cada vez mais capazes de contornar filtros de e-mail tradicionais, destacando a falha das defesas apenas no perímetro e a necessidade de detecção pós-entrega.
Também permitiu que eles manobrassem defesas tradicionais por meio de campanhas de phishing polimórficas que alteram o conteúdo em tempo real.
O resultado: mensagens enganosas que são cada vez mais difíceis de detectar e ainda mais difíceis de parar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...