Magia hacker: cómo los ciberdelincuentes convierten un texto corriente en un virus dentro de la memoria de tu computadora
Así actúa SHADOW#REACTOR, un ataque que no deja rastro
Los atacantes desplegaron una nueva campaña que emplea un esquema de infección multietapa dirigido a la entrega del malware Remcos RAT — una herramienta de control remoto que permite controlar sin ser detectado un dispositivo comprometido. Los especialistas de Securonix, que descubrieron el ataque, la denominaron SHADOW#REACTOR. Se distingue por la combinación de mecanismos de entrega poco visibles y un esquema persistente de evasión de la detección.
El escenario de infección se basa en la ejecución secuencial de varios componentes, cada uno de los cuales se camufla y se relaciona con otros eslabones de la cadena. Todo comienza con la ejecución de un script oculto en Visual Basic, que se inicia mediante el componente estándar de Windows — wscript.exe.
Este script activa un cargador PowerShell que solicita a un servidor externo partes de la carga útil presentadas como texto plano. Los segmentos se ensamblan en memoria y se convierten en un cargador codificado, que se ejecuta mediante un componente protegido basado en .NET y se utiliza para obtener la configuración de Remcos RAT desde un recurso remoto.
La fase final emplea la herramienta legítima del sistema MSBuild.exe, conocida como uno de los elementos LOLBin populares, lo que permite evadir las defensas mediante el uso de utilidades integradas del propio sistema operativo. Como resultado, todos los componentes del malware se implantan en el sistema sin la necesidad de guardar archivos ejecutables en claro.
Según los especialistas, la campaña atacante no es de carácter puntual; más bien se trata de un enfoque masivo y oportunista. Los objetivos principales son las redes corporativas y la infraestructura de pequeñas y medianas empresas. La táctica empleada en el ataque es típica de los intermediarios de acceso inicial, que se especializan en crear puntos de entrada persistentes y luego venderlos a otros grupos criminales. Al mismo tiempo, no se han identificado indicios de pertenencia a grupos conocidos.
Una característica de este esquema es la apuesta por archivos de texto intermedios y la reutilización de scripts PowerShell para construir cargadores directamente en la memoria. Esto complica el análisis y la detección. Los componentes se protegen mediante el mecanismo .NET Reactor, lo que dificulta aún más el estudio del código malicioso.
El script primario inicia la cadena tras, presuntamente, la interacción del usuario con un enlace malicioso. Tras descargar el archivo de texto en el directorio temporal del sistema, el script PowerShell comprueba su tamaño e integridad. Si los datos están incompletos, el proceso se pausa e inicia una nueva descarga. Esta verificación evita la interrupción de la ejecución por un archivo incompleto o dañado, lo que hace todo el esquema más resistente.
Si se cumplen las condiciones, se genera el siguiente script PowerShell, encargado de invocar el cargador .NET, obtener el siguiente nivel del malware y realizar comprobaciones para detectar entornos virtuales o depuradores. Gracias a este enfoque, el malware tarda más en ser detectado.
Además, durante el ataque se añaden scripts auxiliares responsables de reiniciar el componente original y de mantener el control sobre el sistema. Los autores del esquema, según los especialistas, diseñaron deliberadamente una infraestructura modular que hace que la carga útil sea flexible, difícil de clasificar y menos vulnerable al análisis estático.
La campaña SHADOW#REACTOR demuestra un alto grado de planificación: desde el uso de las utilidades integradas de Windows hasta el control constante de la correcta ejecución de cada etapa. Esto la convierte en una amenaza seria para las organizaciones, especialmente cuando la protección de los dispositivos finales es insuficiente.