Nuevo ataque utiliza archivos de acceso directo de Windows para instalar la puerta trasera REMCOS

El equipo de Inteligencia de Amenazas Lat61 de la firma de seguridad Point Wild ha identificado una nueva y engañosa campaña de malware multietapa. El ataque utiliza una técnica ingeniosa que utiliza archivos maliciosos de acceso directo de Windows (LNK), un simple puntero a un programa o archivo, para distribuir un peligroso troyano de acceso remoto (RAT) conocido como REMCOS .

La investigación , dirigida por el Dr. Zulfikar Ramzan, director de tecnología de Point Wild, y compartida con Hackread.com, revela que la campaña comienza con un archivo de acceso directo aparentemente inofensivo, posiblemente adjunto a un correo electrónico, con un nombre de archivo como " ORDINE-DI-ACQUIST-7263535 ".

Cuando un usuario hace clic en él, el archivo LNK ejecuta discretamente un comando de PowerShell en segundo plano. Para su información, PowerShell es una potente herramienta de línea de comandos que Windows utiliza para la automatización de tareas; sin embargo, en este ataque, se utiliza para descargar/decodificar una carga útil oculta.

Este comando está diseñado para descargar y decodificar una carga útil oculta sin activar alertas de seguridad, guardar archivos ni usar macros. La investigación proporciona hashes específicos para este archivo LNK, incluyendo MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , para facilitar su detección.

Esta campaña está diseñada para ser sigilosa mediante el uso de diferentes capas de camuflaje. Tras la ejecución del comando inicial de PowerShell, obtiene una carga útil codificada en Base64 desde un servidor remoto. Esta es una forma común de ocultar código malicioso a simple vista, ya que Base64 es un método estándar para codificar datos binarios en texto.

Una vez descargada y decodificada la carga útil, se ejecuta como un archivo de información del programa o .PIF , un tipo de ejecutable que se suele usar para programas antiguos. Los atacantes disfrazaron este archivo como CHROME.PIF , imitando un programa legítimo.

Este último paso instala la puerta trasera REMCOS, lo que otorga a los atacantes control total del sistema comprometido. El malware también garantiza su persistencia en el sistema mediante la creación de un archivo de registro para el registro de pulsaciones de teclas en una nueva carpeta Remcos, dentro del directorio %ProgramData% .

Una vez instalada, la puerta trasera REMCOS otorga a los atacantes un amplio control sobre el ordenador de la víctima. El informe de inteligencia de amenazas indica que puede realizar una amplia gama de actividades maliciosas, como el registro de pulsaciones de teclas para robar contraseñas, la creación de un shell remoto para acceso directo y el acceso a archivos.

Además, la puerta trasera REMCOS permite a los atacantes controlar la cámara web y el micrófono del ordenador, lo que les permite espiar al usuario. La investigación también reveló que la infraestructura de comando y control (C2) para esta campaña específica se encuentra en Rumanía y Estados Unidos.

Este hallazgo destaca la necesidad de ser precavidos, ya que estos ataques pueden provenir de cualquier parte del mundo. Los investigadores recomiendan a los usuarios ser cautelosos con los archivos de acceso directo de fuentes no confiables, revisar los archivos adjuntos antes de abrirlos y utilizar un software antivirus actualizado con protección en tiempo real.