{"id":1720818,"date":"2025-05-16T17:10:54","date_gmt":"2025-05-16T17:10:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/fileless-remcos-rat-entregada-a-traves-de-archivos-lnk-y-mshta-en-ataques-con-sede-en-powershell\/"},"modified":"2025-05-16T17:11:00","modified_gmt":"2025-05-16T17:11:00","slug":"fileless-remcos-rat-entregada-a-traves-de-archivos-lnk-y-mshta-en-ataques-con-sede-en-powershell","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fileless-remcos-rat-entregada-a-traves-de-archivos-lnk-y-mshta-en-ataques-con-sede-en-powershell\/","title":{"rendered":"Fileless REMCOS RAT entregada a trav\u00e9s de archivos LNK y MSHTA en ataques con sede en PowerShell"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Los investigadores de seguridad cibern\u00e9tica han arrojado luz sobre una nueva campa\u00f1a de malware que hace uso de un cargador ShellCode basado en PowerShell para implementar un troyano de acceso remoto llamado REMCOS RAT.<\/p>\n

“Los actores de amenaza entregaron archivos LNK maliciosos integrados dentro de los archivos zip, a menudo disfrazados de documentos de la oficina”, el investigador de seguridad de Qualys Akshay Thorve dicho<\/a> en un informe t\u00e9cnico. “La cadena de ataque apunta mshta.exe<\/a> para la ejecuci\u00f3n del poder durante la etapa inicial “.<\/p>\n

La \u00faltima ola de ataques, seg\u00fan lo detallado por Qualys, emplea se\u00f1uelos relacionados con los impuestos para atraer a los usuarios a abrir un archivo de cremallera maliciosa que contiene un archivo de acceso directo (LNK) de Windows, que, a su vez, hace uso de MSHTA.exe, una herramienta leg\u00edtima de Microsoft utilizada para ejecutar aplicaciones HTML (HTA).<\/p>\n

El binario se utiliza para ejecutar un archivo HTA ofuscado llamado “XLAB22.HTA” alojado en un servidor remoto, que incorpora el c\u00f3digo de script de Visual Basic para descargar un script de PowerShell, un PDF se\u00f1uelo y otro archivo HTA similar a XLAB22.HTA llamado “311.hta”. El archivo HTA tambi\u00e9n est\u00e1 configurado para realizar modificaciones del Registro de Windows para garantizar que “311.hta” se inicie autom\u00e1ticamente al inicio del sistema.<\/p>\n

Una vez que se ejecuta el script PowerShell, decodifica y reconstruye un cargador de shellcode que finalmente procede a iniciar la carga \u00fatil REMCOS RAT por completo en la memoria.<\/p>\n

REMCOS RAT es un malware bien conocido que ofrece a los actores de amenaza control total sobre los sistemas comprometidos, lo que la convierte en una herramienta ideal para el espionaje cibern\u00e9tico y el robo de datos. Un binario de 32 bits compilado con Visual Studio C ++ 8, presenta una estructura modular y puede recopilar metadatos del sistema, pulsaciones de registro de teclas, capturar capturas de pantalla, monitorear los datos del portapapeles y recuperar una lista de todos los programas instalados y procesos en ejecuci\u00f3n.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Adem\u00e1s, establece una conexi\u00f3n TLS a un servidor de comando y control (C2) en “ReadySteaurants[.]com, “Mantener un canal persistente para la exfiltraci\u00f3n y control de datos.<\/p>\n

Esta no es la primera vez que las versiones sin archivo de REMCOS RAT se han visto en la naturaleza. En noviembre de 2024, Fortinet Fortiguard Labs detall\u00f3 una campa\u00f1a de phishing que despleg\u00f3 sin fila el malware haciendo uso de se\u00f1uelos con tem\u00e1tica de pedidos.<\/p>\n

Lo que hace que el m\u00e9todo de ataque sea atractivo para los actores de amenaza es que les permite operar sin ser detectados por muchas soluciones de seguridad tradicionales a medida que el c\u00f3digo malicioso se ejecuta directamente en la memoria de la computadora, dejando muy pocas rastros en el disco.<\/p>\n

“El surgimiento de los ataques basados \u200b\u200ben PowerShell como la nueva variante REMCOS RAT demuestra c\u00f3mo los actores de amenaza est\u00e1n evolucionando para evadir las medidas de seguridad tradicionales”, dijo J Stephen Kowski, CTO de campo de SlashNext.<\/p>\n

“Este malware sin archivo opera directamente en la memoria, utilizando archivos LNK y mshta.exe para ejecutar scripts de PowerShell ofuscos que pueden evitar las defensas convencionales. Seguridad de correo electr\u00f3nico avanzada que puede detectar y bloquear accesorios de LNK maliciosos antes de llegar a los usuarios es crucial, al igual que el escaneo en tiempo real de los comandos de PowerShell para comportamientos sospechosos”.<\/p>\n

\"\"<\/a><\/div>\n

La divulgaci\u00f3n viene como Palo Alto Networks Unidad 42<\/a> y Tretay<\/a> detall\u00f3 un nuevo cargador .NET que se utiliza para detonar una amplia gama de robadores de informaci\u00f3n de productos b\u00e1sicos y ratas como el Agente Tesla, Novastealer, REMCOS RAT, Vipkeylogger, XLOGER y XWORM.<\/p>\n

El cargador presenta tres etapas que funcionan en conjunto para implementar la carga \u00fatil de la etapa final: A .NET Ejecutable que incrusta las etapas segunda y tercera en forma encriptada, una DLL .NET que descifra y carga la siguiente etapa, y una DLL .NET que administra la implementaci\u00f3n del malware principal.<\/p>\n

“Si bien las versiones anteriores incorporaron la segunda etapa como una cadena codificada, las versiones m\u00e1s recientes usan un recurso de mapa de bits”, dijo Threatray. “La primera etapa extrae y descifra estos datos, luego los ejecuta en la memoria para lanzar la segunda etapa”.<\/p>\n

La Unidad 42 describi\u00f3 el uso de recursos de mapa de bits para ocultar la t\u00e9cnica de esteganograf\u00eda AA de las cargas maliciosas que puede evitar los mecanismos de seguridad tradicionales y evadir la detecci\u00f3n.<\/p>\n

Los hallazgos tambi\u00e9n coinciden con la aparici\u00f3n de varias campa\u00f1as de phishing e ingenier\u00eda social que est\u00e1n dise\u00f1adas para el robo de credenciales y la entrega de malware –<\/p>\n