Campanha SHADOWREACTOR usa malware para acesso remoto persistente
Pesquisadores de cibersegurança revelaram detalhes sobre a campanha SHADOW#REACTOR, que utiliza uma cadeia de ataque em múltiplas etapas para implantar uma ferramenta de administração remota chamada Remcos RAT. O processo de infecção começa com um script em Visual Basic ofuscado, que é executado via wscript.exe e invoca um downloader em PowerShell. Este downloader busca fragmentos de carga útil em um servidor remoto e os reconstrói em carregadores codificados. A execução final é realizada através do MSBuild.exe, um binário legítimo do Windows, que permite a instalação do backdoor Remcos RAT no sistema comprometido.