Blog
No momento, você está visualizando Windows é vítima de novo vírus que permite controle remoto a cibercriminosos
Campanha de malware usa truques para invadir computadores. A SHADOW#REACTOR está instalando secretamente um trojan de acesso remoto Imagem: Freepik

Windows é vítima de novo vírus que permite controle remoto a cibercriminosos

Campanha de malware usa truques para invadir computadores

Uma nova campanha de malware, a SHADOW#REACTOR está instalando secretamente um trojan de acesso remoto (RAT), conhecido como Remcos, que permite que os cibercriminosos controlem os computadores das vítimas. O ataque está usando técnicas de engenharia social, como e-mails e mensagens falsas, para enganar as vítimas.

O ataque, descoberto pela Securonix, começa quando a vítima clica em um link malicioso enviado por email ou mensagem. Essa interação inicial dispara a execução de um script Visual Basic ofuscado chamado “win64.vbs” através do wscript.exe, que é um componente legítimo do Windows. Este primeiro script prepara o terreno para as próximas etapas do ataque.

Uma vez executado, o script VBS carrega e executa um código PowerShell que foi codificado em Base64 para dificultar sua análise.

Este script PowerShell então estabelece comunicação com um servidor remoto controlado pelos atacantes usando o System.Net.WebClient e começa a baixar arquivos de texto aparentemente inofensivos chamados “qpwoe64.txt” ou “qpwoe32.txt”, dependendo se o sistema é de 64 ou 32 bits. Os arquivos são salvos no diretório temporário do Windows.

Técnicas avançadas dificultam detecção

A campanha de malware é característica porque possui um mecanismo de verificação e autocorreção, ou seja, após baixar o arquivo de texto nos computadores, o script entra em um loop de validação que verifica se o arquivo existe e se tem o tamanho mínimo esperado.

Se o arquivo estiver ausente ou incompleto, o malware pausa a execução e tenta baixá-lo novamente. Mesmo que o tempo limite seja excedido, a execução continua sem ser encerrada abruptamente, o que evita falhas na cadeia de infecção e demonstra um design robusto e bem planejado.

Quando o arquivo de texto atende aos critérios necessários, o ataque prossegue construindo um segundo script PowerShell chamado “jdywa.ps1”, também no diretório temporário.

Este script invoca um carregador protegido pela ferramenta .NET Reactor, que é uma solução comercial de ofuscação de código.

Quando ferramentas legítimas se tornam armas

O carregador executa várias funções críticas. Ele estabelece persistência no sistema, recupera a próxima fase do malware e realiza diversas verificações anti-depuração e anti-máquina virtual para evitar a detecção por sistemas de análise de segurança.

A etapa final do ataque utiliza uma técnica conhecida como “living-off-the-land”, que envolve abusar de ferramentas legítimas do sistema operacional para realizar atividades maliciosas.

Neste caso, os atacantes usam o MSBuild.exe, uma ferramenta oficial da Microsoft usada para compilar aplicações, para lançar o Remcos RAT no computador comprometido. Além disso, o sistema cria scripts adicionais que reativam periodicamente a execução do script VBS inicial, garantindo que o malware permaneça ativo mesmo se alguns componentes forem interrompidos. Os pesquisadores avaliam que esta campanha é ampla e oportunista, mirando principalmente ambientes corporativos e pequenas e médias empresas.

As técnicas utilizadas são características de corretores de acesso inicial. Eles são cibercriminosos se especializaram em comprometer sistemas. Depois, vendem esse acesso a outros grupos criminosos. Assim, possibilitam ataques subsequentes mais complexos, como ransomware ou roubo de dados.

O aspecto mais incomum e sofisticado dessa campanha é outro. Ela depende de estágios intermediários baseados apenas em texto simples. Além disso, combina esse método com a reconstrução dinâmica de código malicioso diretamente na memória do computador, usando PowerShell. Ainda mais, emprega um carregador reflexivo protegido pelo .NET Reactor.

Os desenvolvedores projetaram toda essa arquitetura de forma estratégica. A intenção é complicar, acima de tudo, os esforços de detecção por antivírus. Além disso, busca dificultar a análise por pesquisadores de segurança. Por fim, pretende contornar sistemas automatizados de triagem de malware. A estrutura modular e bem mantida indica que este não é um ataque amador, mas sim uma operação profissional com recursos significativos por trás dela.

Como se proteger

A Securonix recomenda alguns cuidados que podem ajudar a evitar cair em golpes como esse, por exemplo:

  • Aumente a conscientização dos usuários sobre ameaças baseadas em scripts;
  • Eduque os usuários sobre os riscos de executar scripts baixados e enfatize cautela com arquivos inesperados, prompts falsos de “atualização” ou documentos recebidos via downloads da web ou fontes não confiáveis;
  • Restrinja ou monitore a execução de scripts VBS, JS e PowerShell, particularmente aqueles originados de locais graváveis pelo usuário, como %TEMP%, diretórios de cache do navegador ou pastas de downloads;
  • Garanta que as soluções EDR sejam capazes de detectar comportamento suspeito de interpretadores de scripts, incluindo cadeias anômalas de processos pai-filho como wscript.exe → powershell.exe → msbuild.exe, e padrões de carregamento reflexivo de assemblies .NET;
  • Habilite logging aprimorado do PowerShell (ScriptBlock logging, Module logging, auditoria de linha de comando) para identificar atividades de reconstrução de payloads altamente ofuscados em múltiplas etapas;
  • Busque ativamente por uso indevido de binários confiáveis como wscript.exe, powershell.exe, mshta.exe e MSBuild.exe, especialmente quando invocados de caminhos de execução não padronizados ou contextos de usuário incomuns;
  • Monitore atalhos suspeitos na pasta de Inicialização, criação de tarefas agendadas e executáveis aparentemente benignos escritos em %TEMP%, ProgramData ou diretórios de perfil de usuário.

Fonte: Tecmundo

Tags: , , , , , , , , , , , , ,