Uma nova campanha de malware tem chamado a atenção de especialistas em cibersegurança por seu alto nível de sofisticação e pela capacidade de assumir o controle completo de computadores com Windows sem levantar suspeitas.
Batizada de SHADOW#REACTOR, essa ofensiva digital instala silenciosamente um trojan de acesso remoto (RAT) conhecido como Remcos, permitindo que criminosos monitorem, controlem e explorem os dispositivos das vítimas à distância.
O ataque se inicia por meio de técnicas clássicas de engenharia social, como e-mails falsos, mensagens enganosas e links maliciosos, cuidadosamente elaborados para parecer legítimos.
Ao clicar no link, a vítima aciona involuntariamente a primeira etapa da infecção, acreditando estar acessando um conteúdo comum ou uma atualização necessária.
Uso de componentes legítimos do Windows
O diferencial dessa campanha está no abuso de ferramentas legítimas do próprio sistema operacional. O clique inicial executa um script Visual Basic ofuscado, chamado win64.vbs, acionado pelo wscript.exe, um componente nativo do Windows.
Isso dificulta a identificação da ameaça, já que o processo não parece malicioso à primeira vista.
Após o primeiro estágio, o malware carrega um script PowerShell codificado em Base64, técnica usada para esconder o verdadeiro conteúdo do código. Essa etapa é crucial, pois estabelece comunicação com servidores controlados pelos atacantes e inicia o download de arquivos aparentemente inofensivos em formato de texto.
Arquivos simples que escondem funções perigosas
Os arquivos baixados, com nomes como qpwoe64.txt ou qpwoe32.txt, variam conforme a arquitetura do sistema e são armazenados na pasta temporária do Windows.
Embora pareçam irrelevantes, esses arquivos são peças-chave da infecção e passam por verificações rigorosas antes de serem utilizados.
Mecanismo de validação e autocorreção
O malware apresenta um comportamento incomum: ele verifica repetidamente se os arquivos baixados estão completos e íntegros. Caso algo dê errado, o código pausa, tenta novamente e segue em frente sem encerrar a execução.
Essa lógica evita falhas, garante persistência e demonstra um nível elevado de planejamento técnico.
Quando os critérios são atendidos, o código cria um novo script PowerShell, o jdywa.ps1, responsável por acionar um carregador protegido pelo .NET Reactor, uma ferramenta comercial de ofuscação. Esse carregador executa partes do malware diretamente na memória, dificultando ainda mais a análise por antivírus tradicionais.
Técnicas para driblar sistemas de segurança
O ataque inclui verificações anti-depuração e anti-máquina virtual, projetadas para identificar se o ambiente está sendo monitorado por ferramentas de segurança ou pesquisadores. Caso detecte algo suspeito, o malware altera seu comportamento para evitar exposição.
Na fase final, os criminosos utilizam a técnica conhecida como living-off-the-land, que consiste em abusar de programas legítimos para fins maliciosos. Nesse caso, o MSBuild.exe, ferramenta oficial da Microsoft, é usado para carregar e executar o Remcos RAT, reduzindo ainda mais as chances de detecção.
Scripts adicionais são criados para reativar periodicamente o processo inicial, garantindo que o malware continue ativo mesmo após reinicializações ou interrupções parciais. Isso dá aos atacantes acesso contínuo ao sistema comprometido.
Alvo principal
Especialistas avaliam que a campanha é ampla e oportunista, focando principalmente em empresas de pequeno e médio porte, onde controles de segurança costumam ser menos rigorosos.
O acesso obtido pode ser vendido para outros grupos criminosos, que realizam ataques ainda mais graves, como ransomware e roubo de dados sensíveis.
O aspecto mais alarmante dessa campanha é sua capacidade de passar despercebida por longos períodos, permitindo espionagem, coleta de credenciais, captura de telas e até controle total do sistema, sem que a vítima perceba qualquer anormalidade.
Como se proteger de ataques desse tipo
Especialistas recomendam medidas preventivas essenciais, como desconfiar de links inesperados, evitar a execução de scripts desconhecidos, manter sistemas atualizados e utilizar soluções de segurança capazes de monitorar comportamentos suspeitos, especialmente o uso anormal de ferramentas nativas do Windows.
Entender como essas ameaças funcionam é o primeiro passo para evitar que um simples clique se transforme em uma invasão completa do seu computador.
