Pesquisadores em cibersegurança revelaram detalhes de uma nova campanha chamada SHADOW#REACTOR, que utiliza uma cadeia de ataque multietapas e altamente evasiva para disseminar uma ferramenta comercial de administração remota, o Remcos RAT, garantindo acesso remoto persistente e furtivo.
Segundo relatório técnico dos especialistas Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee, da Securonix, a cadeia de infecção segue um caminho cuidadosamente orquestrado: um launcher em VBS ofuscado, executado via wscript.exe, chama um downloader em PowerShell que baixa fragmentos do payload em formato texto de um servidor remoto.
Esses fragmentos são então reconstruídos em loaders codificados, decodificados em memória por um assembly protegido pelo .NET Reactor e usados para obter e aplicar uma configuração remota do Remcos.
A fase final utiliza o MSBuild.exe, um binário legítimo do sistema — conhecido como LOLBin (living-off-the-land binary) — para completar a execução, momento em que o backdoor Remcos RAT é totalmente implantado e passa a controlar o sistema comprometido.
A campanha tem como alvo, de forma ampla e oportunista, principalmente ambientes corporativos, além de pequenas e médias empresas.
As ferramentas e técnicas observadas indicam alinhamento com o perfil típico de initial access brokers — atores que obtêm acesso inicial a ambientes para, em seguida, vendê-lo a terceiros com fins financeiros.
Entretanto, não há evidências que liguem a operação a grupos de ameaça conhecidos.
Um dos aspectos mais incomuns dessa campanha é o uso de stagers intermediários que são arquivos de texto, combinados com reconstrução em memória via PowerShell e carregador reflexivo protegido pelo .NET Reactor.
Essa estratégia dificulta a detecção e análise por sistemas de segurança e pesquisadores.
A sequência de infecção começa com o download e execução de um script Visual Basic ofuscado chamado “win64.vbs”, provavelmente acionado por interação do usuário, como o clique em um link em iscas de engenharia social.
O script, executado via “wscript.exe”, funciona como um launcher leve para um payload codificado em Base64 escrito em PowerShell.
Esse script PowerShell usa System.Net.WebClient para se comunicar com o mesmo servidor que hospeda o arquivo VBS e baixa um payload em texto denominado “qpwoe64.txt” (ou “qpwoe32.txt” em sistemas 32 bits) para a pasta %TEMP% da máquina-alvo.
Conforme explicado pelos pesquisadores, o script verifica em loop a existência e o tamanho do arquivo.
Se o arquivo estiver ausente ou com tamanho abaixo do mínimo configurado (minLength), o stager pausa e tenta baixar novamente o conteúdo.
Se o limite de espera (maxWait) for ultrapassado, a execução prossegue para evitar a falha completa da cadeia.
Esse mecanismo garante que fragmentos incompletos ou corrompidos não interrompam a execução, reforçando a capacidade autorreparadora da campanha.
Caso o arquivo atenda aos critérios necessários, o processo cria um segundo script PowerShell, “jdywa.ps1”, também na pasta %TEMP%.
Esse script dispara um loader protegido pelo .NET Reactor, responsável por garantir persistência, baixar a próxima fase do malware e realizar verificações anti-debug e anti-VM, dificultando a detecção.
Por fim, o loader executa o Remcos RAT no sistema comprometido usando o processo legítimo do Windows “MSBuild.exe”.
Durante o ataque, também são criados scripts wrapper para reexecutar o “win64.vbs” via “wscript.exe”, reforçando a modularidade e a manutenção da infraestrutura.
Segundo os pesquisadores da Securonix, esses comportamentos indicam um framework de loader ativo e modular, concebido para manter o payload Remcos portável, resiliente e difícil de ser classificado por métodos estáticos.
A combinação de stagers apenas em texto, loaders .NET Reactor em memória e abuso de LOLBins é uma estratégia deliberada para frustrar assinaturas antivírus, ambientes sandbox e análises rápidas por especialistas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...