El phishing sigue siendo una de las tácticas más efectivas empleadas por los cibercriminales para infectar dispositivos y obtener información confidencial. La más reciente amenaza detectada utiliza documentos de Excel maliciosos para propagar una variante sin archivos del malware Remcos RAT, según han revelado investigadores de Fortinet FortiGuard Labs.
¿Qué es Remcos RAT y cómo funciona?
Remcos RAT (Remote Access Trojan) es un malware comercial que permite a los atacantes tomar el control remoto de los dispositivos infectados. Originalmente diseñado para ser utilizado con fines legítimos, como la administración remota de sistemas, este programa ha sido abusado por actores maliciosos para llevar a cabo actividades ilícitas. Entre sus capacidades, Remcos RAT permite a los ciberdelincuentes:
- Robar información sensible del usuario.
- Controlar dispositivos de manera remota.
- Ejecutar comandos maliciosos.
- Capturar datos del portapapeles, acceder a la cámara y el micrófono, y registrar la pantalla.
En esta nueva campaña, los atacantes están utilizando una versión sin archivos de Remcos RAT, lo que complica la detección y eliminación del malware.
Archivos de Excel maliciosos
El punto de partida de esta campaña es un correo electrónico de phishing que utiliza señuelos relacionados con órdenes de compra para atraer a las víctimas. El correo incluye un archivo adjunto de Excel diseñado para explotar una vulnerabilidad conocida en Microsoft Office (CVE-2017-0199), que permite la ejecución remota de código. Esta vulnerabilidad, con una puntuación CVSS de 7.8, sigue siendo utilizada por los atacantes debido a la gran cantidad de sistemas que aún no han sido parcheados.
Al abrir el documento de Excel, el archivo aprovecha la vulnerabilidad para descargar un archivo HTML Application (HTA) desde un servidor remoto. Este archivo HTA, denominado «cookienetbookinetcahce.hta», se ejecuta utilizando el programa mshta.exe, una herramienta legítima de Windows que permite la ejecución de archivos HTA. Los atacantes aprovechan mshta.exe para evitar las medidas de seguridad del sistema.
Técnicas avanzadas para evadir la detección
El archivo HTA descargado está envuelto en múltiples capas de JavaScript, Visual Basic Script y código PowerShell. Este enfoque multicapa permite a los atacantes evadir la detección de herramientas antivirus tradicionales y complicar el análisis del malware. Una vez ejecutado, el archivo HTA descarga un binario adicional que ejecuta otro script PowerShell ofuscado.
El malware utiliza una técnica conocida como process hollowing, donde inyecta código malicioso directamente en la memoria de un proceso legítimo del sistema. Esta técnica permite que el malware opere sin necesidad de guardar archivos en el disco, lo que reduce significativamente la probabilidad de ser detectado por las soluciones de seguridad.
La variante sin archivos de Remcos RAT no guarda archivos maliciosos en el sistema infectado. En lugar de eso, se carga directamente en la memoria del proceso actual, lo que dificulta su detección y eliminación. Los métodos tradicionales de análisis de malware, que buscan archivos sospechosos en el disco, no son efectivos contra este tipo de amenazas.
Capacidades de Remcos RAT: un arsenal de herramientas para los atacantes
Una vez que Remcos RAT ha infectado el sistema, el malware se conecta a un servidor de comando y control (C2), desde donde el atacante puede emitir órdenes de forma remota. Las capacidades de Remcos incluyen:
- Robo de archivos y datos confidenciales: Puede extraer archivos del dispositivo infectado y acceder a metadatos del sistema.
- Gestión de procesos y servicios: Permite enumerar, iniciar y detener procesos, así como manipular servicios del sistema.
- Modificación del Registro de Windows: Puede alterar configuraciones del sistema a través del Registro de Windows.
- Captura de pantalla y grabación de pantalla: Registra la actividad de la pantalla del usuario, lo que permite al atacante obtener información sensible.
- Habilitación de cámara y micrófono: Accede a la cámara y el micrófono del dispositivo para espiar a la víctima.
- Desactivación de teclado y ratón: Puede bloquear la interacción del usuario con el dispositivo, dejándolo vulnerable.
La campaña de phishing también ha mostrado otras técnicas avanzadas, como el abuso de las APIs de DocuSign para enviar facturas falsas y engañar a los usuarios. Los atacantes crean cuentas legítimas de DocuSign, lo que les permite modificar plantillas y enviar solicitudes de firma que parecen auténticas. Estas facturas falsas suelen imitar marcas reconocidas, como Norton Antivirus, para aumentar su credibilidad.