Uma nova campanha de malware, identificada como SHADOW#REACTOR, está sendo usada para instalar de forma silenciosa um trojan de acesso remoto (RAT) conhecido como Remcos, capaz de conceder controle total dos dispositivos comprometidos aos invasores. A estratégia se baseia em técnicas de engenharia social, como e-mails e mensagens fraudulentas, que induzem as vítimas a clicar em links maliciosos.

A ofensiva foi descoberta pela empresa de segurança Securonix e tem início quando o usuário interage com um link enviado por e-mail ou mensagem. Esse primeiro clique aciona a execução de um script Visual Basic altamente ofuscado, chamado “win64.vbs”, por meio do wscript.exe — um componente legítimo do sistema operacional Windows. A partir daí, o ataque prepara o ambiente para as fases seguintes da infecção.

Conheça a pauta do Sindpd que será negociada a partir desta quinta

Após ser iniciado, o script VBS carrega e executa um comando PowerShell codificado em Base64, técnica adotada para dificultar a inspeção e a análise do código malicioso.

Na sequência, o PowerShell estabelece comunicação com um servidor remoto sob controle dos atacantes utilizando o System.Net.WebClient. A partir dessa conexão, são baixados arquivos de texto aparentemente inofensivos, denominados “qpwoe64.txt” ou “qpwoe32.txt”, de acordo com a arquitetura do sistema (64 ou 32 bits). Esses arquivos são armazenados no diretório temporário do Windows.

Técnicas dificultam detecção

Um dos diferenciais dessa campanha é a presença de um mecanismo de verificação e autorrecuperação. Depois do download, o script entra em um ciclo de validação que checa se o arquivo existe e se atende a um tamanho mínimo esperado.

Caso o arquivo não esteja presente ou esteja incompleto, o malware interrompe temporariamente a execução e tenta realizar o download novamente. Mesmo quando o tempo limite é excedido, o processo não é encerrado abruptamente, o que reduz falhas na cadeia de infecção e revela um planejamento cuidadoso e resiliente.

Quando o arquivo de texto atende aos critérios estabelecidos, o ataque avança para a criação de um segundo script PowerShell, chamado “jdywa.ps1”, também gravado no diretório temporário do sistema.

Esse novo script é responsável por acionar um carregador protegido pela ferramenta .NET Reactor, uma solução comercial amplamente usada para ofuscação de código.

Ferramentas legítimas se tornam armas

O carregador executado desempenha funções essenciais para o sucesso do ataque, como garantir persistência no sistema, buscar os próximos estágios do malware e realizar diversas verificações antidepuração e antimáquina virtual, com o objetivo de escapar de ambientes de análise e sandboxes de segurança.

A fase final da campanha recorre à técnica conhecida como “living-off-the-land”, na qual ferramentas legítimas do próprio sistema operacional são exploradas para conduzir ações maliciosas.

Nesse caso, os invasores utilizam o MSBuild.exe, uma ferramenta oficial da Microsoft destinada à compilação de aplicações, para iniciar a execução do Remcos RAT no computador infectado. Além disso, scripts adicionais são criados para reativar periodicamente o script VBS inicial, assegurando que o malware continue ativo mesmo que alguns de seus componentes sejam interrompidos.

De acordo com os pesquisadores, trata-se de uma campanha ampla e oportunista, com foco especial em ambientes corporativos, incluindo pequenas e médias empresas.

As técnicas empregadas são típicas de corretores de acesso inicial – cibercriminosos especializados em comprometer sistemas e comercializar esse acesso posteriormente para outros grupos, que podem conduzir ataques mais sofisticados, como ransomware ou roubo de informações.

O elemento mais incomum e avançado dessa operação está no uso de estágios intermediários baseados exclusivamente em texto simples, combinados com a reconstrução dinâmica de código malicioso diretamente na memória por meio do PowerShell, além da utilização de um carregador reflexivo protegido pelo .NET Reactor.

Toda a arquitetura foi desenhada para dificultar significativamente a detecção por antivírus, atrapalhar o trabalho de analistas de segurança e contornar sistemas automatizados de análise de malware. A estrutura modular e bem-organizada indica que não se trata de uma ação amadora, mas de uma operação profissional, sustentada por recursos e conhecimento técnico avançado.

Como se proteger

A Securonix aponta uma série de medidas que podem reduzir o risco de infecção por esse tipo de ameaça:

• Reforce a conscientização dos usuários sobre ataques baseados em scripts;
• Oriente colaboradores sobre os perigos de executar scripts baixados, alertando para arquivos inesperados, falsas mensagens de atualização ou documentos provenientes de fontes não confiáveis;
• Restrinja ou monitore a execução de scripts VBS, JS e PowerShell, especialmente aqueles originados de diretórios graváveis pelo usuário, como %TEMP%, cache do navegador ou pastas de download;
• Certifique-se de que soluções de EDR consigam identificar comportamentos suspeitos de interpretadores de scripts, incluindo cadeias anômalas de processos como wscript.exe → powershell.exe → msbuild.exe e padrões de carregamento reflexivo de assemblies .NET;
• Ative logs avançados do PowerShell, como ScriptBlock logging, Module logging e auditoria de linha de comando, para detectar atividades de reconstrução de payloads altamente ofuscados em múltiplas etapas;
• Busque ativamente sinais de abuso de binários confiáveis, como wscript.exe, powershell.exe, mshta.exe e MSBuild.exe, sobretudo quando executados a partir de caminhos não padronizados ou em contextos de usuário incomuns;
• Monitore a criação de atalhos suspeitos na pasta de Inicialização, tarefas agendadas e executáveis aparentemente inofensivos gravados em %TEMP%, ProgramData ou diretórios de perfil de usuário.

(Com informações de Convergência Digital)
(Foto: Reprodução/Freepik)