Uma nova e sofisticada campanha maliciosa, batizada de SHADOW#REACTOR, está atacando usuários do Windows, disseminando um malware de acesso remoto (RAT) para estabelecer uma cadeia de infecção persistente e silenciosa. A descoberta foi feita por pesquisadores de segurança da Securonix, que alertam para a gravidade da ameaça.
Como o Ataque SHADOW#REACTOR Funciona?
O ataque SHADOW#REACTOR emprega a ferramenta Remcos RAT para obter acesso remoto aos sistemas visados. O processo de infecção é engenhoso e multifacetado, começando com um VBS Launcher, um software de simulação que se camufla no Windows. Este launcher executa um script que recupera payloads fragmentados de um servidor remoto. Esses fragmentos são então reconstruídos em loaders, que são decodificados diretamente na memória da máquina para aplicar uma configuração remota do Remcos.
A etapa final utiliza o MSBuild.exe, um binário legítimo do Windows, como um executável remoto. Isso permite que o malware complete sua execução, com um backdoor do Remcos RAT entrando em ação para comprometer integralmente o sistema operacional da vítima.
Alvos Preferenciais e o Mercado Clandestino
Durante as análises da campanha, os pesquisadores da Securonix identificaram que os principais alvos dos criminosos são pequenas e médias empresas (PMEs) no ambiente corporativo. A motivação por trás desses ataques é puramente financeira: os hackers obtêm acesso aos sistemas corporativos para “vendê-los” a outros agentes maliciosos, maximizando seus lucros no submundo digital.
A disseminação inicial do malware ocorre principalmente por meio da interação do usuário com links maliciosos. Esses links servem como iscas, levando as vítimas a caírem na armadilha sem suspeitar do perigo iminente.
Técnicas de Evasão e Resiliência do Malware
Um dos aspectos mais preocupantes do Remcos RAT é sua capacidade de usar processos legítimos do Windows para avançar em seus estágios de contaminação. A exploração do MSBuild.exe é um exemplo claro dessa tática, que visa mascarar as atividades maliciosas e dificultar a detecção.
Segundo os especialistas, essa técnica, juntamente com cada etapa da infecção, indica uma estrutura “ativamente mantida”, projetada para que o Remcos permaneça “resiliente e difícil de ser classificado”. Essa sofisticação permite que o RAT contorne com sucesso sistemas de segurança como antivírus e outras ferramentas de proteção, representando um desafio significativo para a segurança cibernética das empresas.
Fonte: canaltech.com.br