Novo ciberataque ao Windows usa acesso remoto por script
Uma nova campanha maliciosa contra usuários do Windows dissemina um malware de acesso remoto para concretizar uma cadeia de infecção no sistema. O ataque, denominado SHADOW#REACTOR, foi detectado por pesquisadores de segurança da Securonix. Instagram nega vazamento de dados de 17,5 milhões de usuários na dark web Cloudflare é multada em R$ 87 milhões na Europa por não combater pirataria Segundo as investigações, sabe-se que a campanha usa a ferramenta Remcos RAT para obter acesso ao sistema visado de maneira remota, estabelecendo uma persistência silenciosa. Tudo começa com um VBS Launcher, um software de simulação que, ao se camuflar no Windows, executa um script que recupera payloads fragmentados de um servidor remoto. Esses fragmentos são reconstruídos em loaders que são decodificados na memória da máquina e usados para aplicar uma configuração remota do Remcos. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Por fim, a etapa derradeira usa o MSBuild.exe como um binário de execução remota para completar a execução do malware, com um backdoor do Remcos RAT entrando em ação para comprometer o sistema operacional. Malware de acesso remoto infecta Windowns a partir de camadas complexas (Imagem: Jake Walker, Unsplash) Ataque contra empresas Durante as análises da campanha, os pesquisadores identificaram que os principais alvos dos criminosos estão no ambiente corporativo, sendo pequenas e médias empresas. Pelo foi observado, os hackers obtêm acesso aos sistemas corporativos para “vendê-los” a outros agentes maliciosos e, dessa forma, ganhar um lucro maior. O principal meio de disseminação do malware ocorre a partir da interação do usuário com um link malicioso, que serve como uma isca para que as vítimas caiam na armadilha sem suspeitar do que está acontecendo. Outro ponto que chamou atenção na ação do Remcos RAT é que o malware usa um processo legítimo do Windows, o "MSBuild.exe", para avançar em seus estágios de contaminação. Segundo os especialistas, esse processo, juntamente com cada etapa da infecção, indica uma estrutura “ativamente mantida” para que o Remcos permaneça “resiliente e difícil de ser classificado”. Dessa forma, o RAT consegue até mesmo contornar sistemas de segurança de antivírus e outras ferramentas de segurança. Leia também: Ataque ClickFix usa tela azul falsa do Windows para espalhar malware Extensões populares do Chrome são pegas roubando conversas do ChatGPT Roteamento de e-mail mal configurado pode gerar phishing interno, diz Microsoft Leia a matéria no Canaltech.