Shadowreactor

Uma nova campanha de ciberataque, chamada SHADOW#REACTOR, está afetando usuários do Windows ao disseminar um malware de acesso remoto. Detectado por pesquisadores da Securonix, o ataque utiliza a ferramenta Remcos RAT para obter acesso remoto aos sistemas, estabelecendo uma persistência silenciosa. O processo inicia-se com um VBS Launcher, que se disfarça no Windows e executa um script para recuperar payloads fragmentados de um servidor remoto. Esses fragmentos são então reconstruídos em loaders, que são decodificados na memória do dispositivo. A execução final do malware é realizada através do MSBuild.exe, um processo legítimo do Windows, que permite ao Remcos RAT comprometer o sistema operacional. Os principais alvos são pequenas e médias empresas, com os hackers buscando vender o acesso a esses sistemas a outros agentes maliciosos. A disseminação do malware ocorre principalmente por meio de links maliciosos, que atraem as vítimas sem que elas percebam. A utilização de processos legítimos para a infecção torna o Remcos RAT resiliente e difícil de ser detectado por soluções de segurança.