Los ciberdelincuentes no dejan de innovar, y su creatividad para sortear las defensas de seguridad tradicionales sigue sorprendiendo. Una nueva variante sin archivo (fileless) del temido Remcos RAT, un troyano de acceso remoto ampliamente conocido, ha sido detectada en ataques activos. Este malware ahora opera de forma más sigilosa que nunca, utilizando técnicas avanzadas para esconderse en la memoria de los sistemas infectados y dejando pocas huellas para ser detectado.
Los laboratorios de Fortinet han detectado recientemente una campaña de phishing que distribuye una nueva variante del famoso troyano de acceso remoto (RAT) Remcos.
Remcos, originalmente creado como una herramienta comercial de administración remota que cualquiera puede comprar en línea, ha sido aprovechado por ciberdelincuentes para llevar a cabo actividades maliciosas. Básicamente, les permite tomar el control de las computadoras de sus víctimas y robar información sensible, como contraseñas o datos financieros.
En esta campaña en particular, los atacantes usan correos de phishing con un archivo de Excel malicioso disfrazado como un documento de pedido. El truco está en que, al abrirlo, se activa una vulnerabilidad antigua pero efectiva (RCE CVE-2017-0199) que abre la puerta al ataque.
Desde hace varios años, los ciberdelincuentes han estado explotando una vulnerabilidad en la funcionalidad de vinculación e incrustación de objetos (OLE) de Microsoft Office para distribuir malware. Una de las tácticas más comunes ha sido usar archivos de texto enriquecido (RTF) maliciosos para propagar amenazas como el troyano bancario Dridex. Y ahora, este enfoque ha evolucionado para distribuir herramientas más avanzadas, como Remcos RAT.
En este caso, la vulnerabilidad CVE-2017-0199 vuelve a ser protagonista. Una vez que se explota, descarga y ejecuta un archivo HTA (una Aplicación HTML) directamente en el dispositivo de la víctima. Este archivo es el primer paso de una cadena compleja de ataque diseñada para evadir detección y comprometer el sistema.
¿Cómo funciona el ataque?
- El archivo malicioso en acción: El documento de Excel manipulado accede a una URL acortada que redirige a una dirección IP específica para descargar un archivo HTA. Este archivo se ejecuta mediante el programa mshta.exe, que se invoca a través de los componentes DCOM de Excel.
- Evadiendo la detección: Los investigadores encontraron que el archivo HTA está envuelto en múltiples capas de protección. Utiliza lenguajes y técnicas como JavaScript, VBScript, codificación en Base64, codificación URL y PowerShell, todo diseñado para esquivar las herramientas de seguridad y permanecer oculto.
- El siguiente paso: PowerShell malicioso: El archivo HTA ejecuta un script de PowerShell que descarga un archivo ejecutable malicioso (dllhost.exe) en el dispositivo. Este archivo extrae otros elementos en la carpeta %AppData% y lanza más scripts de PowerShell para ejecutar código oculto. Uno de los componentes extraídos, Aerognosy.Res, contiene más instrucciones que desencadenan comandos adicionales.
- Ofuscación y persistencia: El script ofuscado copia dllhost.exe en la carpeta %temp%, lo renombra como Vaccinerende.exe, y luego utiliza técnicas avanzadas para cargar y ejecutar código malicioso directamente en la memoria, utilizando llamadas a API como VirtualAlloc() y CallWindowProcA().
- Técnica de vaciado de procesos: El ataque utiliza una técnica llamada process hollowing (vaciado de procesos) para insertar el código malicioso en un proceso recién creado (Vaccinerende.exe). Para lograrlo, suspende el proceso al iniciarlo, transfiere el código malicioso y lo ejecuta sin despertar sospechas.
- Carga final: Remcos RAT en memoria: El ataque culmina con la descarga de una versión cifrada de Remcos RAT desde un servidor remoto. Utilizando APIs como InternetOpenA() y InternetReadFile(), el código malicioso descifra y carga directamente el RAT en la memoria del proceso Vaccinerende.exe. Esto significa que el troyano nunca toca el disco duro, haciéndolo mucho más difícil de detectar. Finalmente, el RAT se ejecuta en un hilo nuevo, invocado mediante la API NtCreateThreadEx().
¿Qué puede hacer Remcos RAT?
Una vez activo, Remcos RAT le otorga a los atacantes un control total sobre el sistema infectado. Entre sus capacidades, los operadores pueden:
- Robar información del sistema, como datos de usuario o detalles de hardware.
- Ejecutar comandos remotos.
- Manipular archivos, procesos y registros.
- Grabar audio y video desde el micrófono y la cámara del dispositivo.
- Capturar contraseñas almacenadas o las pulsaciones del teclado (keylogging).
- Tomar capturas de pantalla o grabar la actividad del escritorio.
- Descargar y ejecutar otros programas maliciosos.
- Incluso, desactivar la entrada del teclado o el mouse para bloquear al usuario.
¿Cómo se mantiene oculto?
El código malicioso también asegura su persistencia en el sistema. Esto significa que, aunque reinicies tu computadora, seguirá ahí, listo para activarse. Lo logra agregando un elemento de ejecución automática al registro del sistema, garantizando que el proceso Vaccinerende.exe se ejecute cada vez que el sistema se inicie.
Además, al cargar Remcos RAT directamente en la memoria y usar técnicas de vaciado de procesos, los atacantes evitan que el malware sea detectado fácilmente por herramientas de análisis forense o antivirus tradicionales.
Conoce más sobre: Análisis de Malware con Wazuh
Conclusión: ¿Por qué este ataque es tan efectivo?
Lo que hace que este ataque sea particularmente peligroso es la combinación de varias técnicas avanzadas que trabajan juntas. Desde el uso de vulnerabilidades antiguas pero aún explotables (como CVE-2017-0199), hasta la implementación de múltiples capas de ofuscación y el enfoque fileless, los atacantes han creado un sistema extremadamente eficiente para pasar desapercibidos. Esto pone en evidencia la importancia de mantener el software actualizado y contar con soluciones de seguridad que puedan detectar comportamientos sospechosos, no solo archivos maliciosos.
Protegerse de amenazas como esta requiere un enfoque en capas: concienciación sobre phishing, parches de seguridad al día y el uso de herramientas avanzadas capaces de detectar actividades anómalas en la memoria o en los procesos del sistema. Esta campaña es un recordatorio claro de que incluso vulnerabilidades antiguas pueden seguir siendo un punto de entrada para ataques devastadores si no se toman las medidas necesarias.
En TecnetOne, contamos con herramientas especializadas como TecnetProtect, una solución integral de seguridad y respaldo diseñada para proteger a tu empresa frente a amenazas modernas. TecnetProtect incluye capacidades avanzadas de protección de correo electrónico, detección de phishing, respaldo automatizado de datos y recuperación ante desastres, garantizando que tu información y tus sistemas estén siempre seguros y disponibles.