Uma nova campanha de malware, a SHADOW#REACTOR está instalando secretamente um trojan de acesso remoto (RAT), conhecido como Remcos, que permite que os cibercriminosos controlem os dispositivos das vítimas. O ataque está usando técnicas de engenharia social, como e-mails e mensagens falsas, para enganar as vítimas.
O ataque, descoberto pela Securonix, começa quando a vítima clica em um link malicioso enviado por email ou mensagem. Essa interação inicial dispara a execução de um script Visual Basic ofuscado chamado "win64.vbs" através do wscript.exe, que é um componente legítimo do Windows. Este primeiro script prepara o terreno para as próximas etapas do ataque.
Uma vez executado, o script VBS carrega e executa um código PowerShell que foi codificado em Base64 para dificultar sua análise.
Este script PowerShell então estabelece comunicação com um servidor remoto controlado pelos atacantes usando o System.Net.WebClient e começa a baixar arquivos de texto aparentemente inofensivos chamados "qpwoe64.txt" ou "qpwoe32.txt", dependendo se o sistema é de 64 ou 32 bits. Os arquivos são salvos no diretório temporário do Windows.
Técnicas avançadas dificultam detecção
O ataque é característico porque ele possui um mecanismo de verificação e autocorreção. Após baixar o arquivo de texto, o script entra em um loop de validação que verifica se o arquivo existe e se tem o tamanho mínimo esperado.
Se o arquivo estiver ausente ou incompleto, o malware pausa a execução e tenta baixá-lo novamente. Mesmo que o tempo limite seja excedido, a execução continua sem ser encerrada abruptamente, o que evita falhas na cadeia de infecção e demonstra um design robusto e bem planejado.
Quando o arquivo de texto atende aos critérios necessários, o ataque prossegue construindo um segundo script PowerShell chamado "jdywa.ps1", também no diretório temporário.
Este script invoca um carregador protegido pela ferramenta .NET Reactor, que é uma solução comercial de ofuscação de código.
Quando ferramentas legítimas se tornam armas
Este carregador é responsável por várias funções críticas, incluindo estabelecer persistência no sistema, recuperar a próxima fase do malware e executar diversas verificações anti-depuração e anti-máquina virtual para evitar ser detectado por sistemas de análise de segurança.
A etapa final do ataque utiliza uma técnica conhecida como "living-off-the-land", que envolve abusar de ferramentas legítimas do sistema operacional para realizar atividades maliciosas.
Neste caso, os atacantes usam o MSBuild.exe, uma ferramenta oficial da Microsoft usada para compilar aplicações, para lançar o Remcos RAT no computador comprometido. Além disso, scripts adicionais são criados para reativar periodicamente a execução do script VBS inicial, garantindo que o malware permaneça ativo mesmo se alguns componentes forem interrompidos.
Os pesquisadores avaliam que esta campanha é ampla e oportunista, mirando principalmente ambientes corporativos e pequenas e médias empresas.
As técnicas utilizadas são características de corretores de acesso inicial, que são cibercriminosos especializados em comprometer sistemas e depois vender esse acesso a outros grupos criminosos para ataques subsequentes mais complexos, como ransomware ou roubo de dados.
O aspecto mais incomum e sofisticado desta campanha é que ela depende de estágios intermediários baseados apenas em texto simples, combinada com a reconstrução dinâmica de código malicioso diretamente na memória do computador usando PowerShell, e o uso de um carregador reflexivo protegido pelo .NET Reactor.
Toda essa arquitetura foi projetada especificamente para complicar drasticamente os esforços de detecção por antivírus, dificultar a análise por pesquisadores de segurança e contornar sistemas automatizados de triagem de malware. A estrutura modular e bem mantida indica que este não é um ataque amador, mas sim uma operação profissional com recursos significativos por trás dela.
Como se proteger
A Securonix recomenda alguns cuidados que podem ajudar a evitar cair em golpes como esse, por exemplo:
- Aumente a conscientização dos usuários sobre ameaças baseadas em scripts;
- Eduque os usuários sobre os riscos de executar scripts baixados e enfatize cautela com arquivos inesperados, prompts falsos de "atualização" ou documentos recebidos via downloads da web ou fontes não confiáveis;
- Restrinja ou monitore a execução de scripts VBS, JS e PowerShell, particularmente aqueles originados de locais graváveis pelo usuário, como %TEMP%, diretórios de cache do navegador ou pastas de downloads;
- Garanta que as soluções EDR sejam capazes de detectar comportamento suspeito de interpretadores de scripts, incluindo cadeias anômalas de processos pai-filho como wscript.exe → powershell.exe → msbuild.exe, e padrões de carregamento reflexivo de assemblies .NET;
- Habilite logging aprimorado do PowerShell (ScriptBlock logging, Module logging, auditoria de linha de comando) para identificar atividades de reconstrução de payloads altamente ofuscados em múltiplas etapas;
- Busque ativamente por uso indevido de binários confiáveis como wscript.exe, powershell.exe, mshta.exe e MSBuild.exe, especialmente quando invocados de caminhos de execução não padronizados ou contextos de usuário incomuns;
- Monitore atalhos suspeitos na pasta de Inicialização, criação de tarefas agendadas e executáveis aparentemente benignos escritos em %TEMP%, ProgramData ou diretórios de perfil de usuário.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.