Los investigadores de ciberseguridad han revelado detalles de una nueva campaña denominada SOMBRA #REACTOR que emplea una cadena de ataques evasiva de varias etapas para ofrecer una herramienta de administración remota disponible en el mercado llamada Remcos ART y establecer un acceso remoto encubierto y persistente.

«La cadena de infección sigue una ruta de ejecución muy orquestada: un lanzador de VBS ofuscado ejecutado mediante wscript.exe invoca un descargador de PowerShell, que recupera cargas útiles fragmentadas y basadas en texto de un host remoto», dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee dijo en un informe técnico compartido con The Hacker News.

«Estos fragmentos se reconstruyen en cargadores codificados, se decodifican en la memoria mediante un ensamblaje protegido por.NET Reactor y se utilizan para buscar y aplicar una configuración remota de Remcos. En la fase final, se aprovecha MSBuild.exe como un binario nativo (LolBin) para completar la ejecución, tras lo cual el backdoor RAT de Remcos se despliega por completo y toma el control del sistema comprometido».

Se considera que la actividad es amplia y oportunista, y se dirige principalmente a entornos empresariales y de pequeñas y medianas empresas. Las herramientas y el oficio se alinean con los típicos intermediarios de acceso inicial, que se afianzan en los entornos objetivo y los venden a otros actores para obtener beneficios económicos. Dicho esto, no hay pruebas que permitan atribuirlo a un grupo de amenazas conocido.

El aspecto más inusual de la campaña es el uso de etapas intermedias que solo contienen texto, junto con el uso de PowerShell para la reconstrucción en memoria y de un cargador reflectante protegido con.NET Reactor, para analizar las fases posteriores del ataque con el objetivo de complicar las tareas de detección y análisis.

La secuencia de infección comienza con la recuperación y ejecución de un script de Visual Basic ofuscado («win64.vbs») que probablemente se desencadena mediante la interacción del usuario, por ejemplo, al hacer clic en un enlace entregado mediante señuelos de ingeniería social. El script, que se ejecuta con "wscript.exe», funciona como un lanzador ligero para una carga útil de PowerShell codificada en Base64.

Posteriormente, el script de PowerShell emplea System.Net.WebClient para comunicarse con el mismo servidor utilizado para obtener el archivo VBS y colocar una carga útil basada en texto denominada "qpwoe64.txt" (o "qpwoe32.txt" para sistemas de 32 bits) en el directorio %TEMP% de la máquina.

«El script entra entonces en un bucle en el que valida la existencia y el tamaño del archivo», explica Securonix. «Si falta el archivo o está por debajo del umbral de longitud configurado (minLength), el stager detiene la ejecución y vuelve a descargar el contenido. Si no se alcanza el umbral dentro del período de tiempo de espera definido (maxWait), la ejecución continúa sin terminar, lo que evita que se produzca un error en la cadena».

«Este mecanismo garantiza que los fragmentos de carga incompletos o corruptos no interrumpan inmediatamente la ejecución, lo que refuerza el diseño de recuperación automática de la campaña».

Si el archivo de texto cumple los criterios pertinentes, procede a crear un segundo script secundario de PowerShell («jdywa.ps1") en el directorio %TEMP%, que invoca un Reactor Loader de.NET que se encarga de establecer la persistencia, recuperar el malware de la siguiente fase e incorporar varias comprobaciones de antidepuración y antiVM para pasar desapercibido.

En última instancia, el cargador lanza el malware Remcos RAT en el host comprometido mediante un proceso legítimo de Microsoft Windows, «MSBuild.exe». Durante el ataque, también se eliminaron scripts que envolvían la ejecución de «win64.vbs» utilizando «wscript.exe» para volver a activar la ejecución de «win64.vbs».

«En conjunto, estos comportamientos indican un marco de carga modular y mantenido activamente, diseñado para mantener la carga útil de Remcos portátil, resiliente y difícil de clasificar estáticamente», señalaron los investigadores. «La combinación de intermediarios que solo utilizan texto, cargadores de .NET Reactor en memoria y el uso indebido de LolBin refleja una estrategia deliberada para frustrar las firmas antivirus, los entornos limitados y la clasificación rápida de los analistas».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.