Qualys, Inc., proveedor pionero y líder en soluciones de TI, seguridad y cumplimiento en la nube, ha hecho público el descubrimiento de una nueva campaña relacionada con Remcos, un troyano de acceso remoto (RAT) conocido por su persistencia y sigilo que proporciona a los atacantes control total sobre los sistemas afectados, lo que lo convierte en una herramienta muy atractiva para el ciberespionaje y el robo de datos.

Descubierta por la Unidad de Investigación de Amenazas (TRU) de Qualys, la campaña se basa en un cargador PowerShell que ha sido diseñado para instalar y ejecutar una variante de Remcos. El ataque distribuye archivos LNK maliciosos incrustados en ficheros ZIP, a menudo camuflados como documentos de Office y que, al ejecutarse, lanzan un script PowerShell con código VBScript ofuscado que omite Windows Defender y se descarga en el sistema.

Tras la inicialización, Remcos inicia automáticamente el módulo keylogger en un nuevo hilo donde realiza la inyección de su propio archivo en svchost, utilizando vaciado de procesos para evadir el ataque. A partir de ahí, el sistema registra las pulsaciones de teclas, captura datos del portapapeles, realiza capturas de pantalla y extrae detalles de las ventanas activas y en segundo plano. También recopila información del sistema como la versión del sistema operativo, los archivos y las aplicaciones instaladas en el equipo y elude el Control de Cuentas de Usuario (UAC). Además, el sistema ejecuta cmd.exe antes y después del intento para verificar la elusión y genera una entrada en el registro de Windows para mantener la persistencia.

Remcos: modus operandi
“Los ciberdelincuentes recurren cada vez más a PowerShell para lanzar ataques sigilosos que evaden las defensas tradicionales de antivirus y endpoints”, explica Sergio Pedroche, Country Manager de Qualys Iberia. “La detección temprana es clave para detener amenazas como Remcos, por lo que será imperativo tomar medidas como un control exhaustivo del registro de PowerShell, monitorización antimalware continua y una solución EDR robusta”.