Ataques contra mais de 40 empresas na Colômbia usaram anexos compactados, scripts BAT, comandos comando operacional omitido ofuscados, módulos .NET e carregamento reflexivo para implantar o RAT Remcos sem depender de gravação direta do payload final em disco.
| Componente | Cadeia de infecção por phishing com anexo ZIP, RAR ou TGZ, arquivo BAT ofuscado, comando operacional omitido, módulos .NET, componente LoadPE e payload Remcos. |
| Vetor | E-mails fraudulentos enviados a empresas na Colômbia, simulando comunicações de instituições financeiras e corporações locais, induziam o usuário a abrir arquivo compactado com supostos documentos, faturas, dívidas vencidas ou ofertas. |
| Impacto | Após a execução pelo usuário, a cadeia carregava Remcos em memória; o RAT concede controle remoto do sistema comprometido e pode viabilizar acesso não autorizado, keylogging, vigilância remota, infecções posteriores, tomada de contas e exfiltração de dados. |
| Prioridade | Endurecer controles de e-mail e endpoint contra arquivos compactados com scripts, correlacionar execução de BAT com comando operacional omitido ofuscado, investigar carregamento de módulos .NET em memória e conter máquinas com sinais de Remcos. |
| Artefatos | Foram descritos arquivo BAT altamente ofuscado, cópia do executável do comando operacional omitido com dupla extensão, decodificação em Base64, descriptografia AES, descompressão, módulos .NET, rotinas de unhooking e recurso de configuração SETTING no Remcos. |
| Superfície | Mais de 40 empresas de diferentes setores na Colômbia foram alvo da campanha observada, com foco em estáções de trabalho de usuários capazes de receber e abrir anexos de e-mail. |
Uma campanha de phishing em larga escala direcionada a mais de 40 empresas na Colômbia empregou uma cadeia de execução em múltiplos estágios para instalar o RAT Remcos em estáções de trabalho de vítimas. A operação começou com mensagens de e-mail que imitavam entidades confiáveis, incluindo instituições financeiras e corporações com presença local. O conteúdo explorava temas de urgência e interesse corporativo, como notificações, documentos importantes, faturas, débitos em atraso e ofertas. O objetivo técnico era levar o destinatário a abrir um arquivo compactado anexado, apresentado como material legítimo, mas usado como ponto inicial para execução de código no endpoint.
O fluxo observado não dependia de um executável final visível desde o início. O arquivo compactado continha um BAT com ofuscação intensa, que acionava comandos comando operacional omitido também ofuscados. Depois da recuperação lógica do conteúdo, a cadeia decodificava dados em Base64, aplicava descriptografia AES e descomprimia o material resultante. O próximo estágio carregava dois módulos .NET diretamente em memória. Um deles atuava na redução de visibilidade e no desvio de mecanismos de inspeção presentes no processo, enquanto o outro preparava a execução reflexiva do payload final por meio de LoadPE. Ao fim do encadeamento, Remcos era carregado em memória, reduzindo a dependência de artefatos gravados em disco e dificultando detecções baseadas apenas em varredura de arquivos.
A fase inicial da cadeia depende de interação do usuário com o anexo compactado. Os formatos citados incluem ZIP, RAR e TGZ, todos comuns em trocas comerciais e administrativas. Essa escolha aumenta a chance de passagem por fluxos de e-mail que tratam arquivos compactados como anexos de rotina, especialmente quando o assunto da mensagem sugere cobrança, documento pendente ou comunicação corporativa. Dentro do arquivo, o BAT funciona como ponte entre a engenharia social e a execução técnica. Ele usa ofuscação para dificultar leitura manual, análise automatizada e classificação por assinaturas simples. Um comportamento descrito no estágio inicial é a cópia do executável do comando operacional omitido para o diretório corrente usando nome com dupla extensão, técnica voltada a mascarar a natureza real do arquivo acionado.
Depois que o comando operacional omitido é iniciado, a cadeia segue com camadas adicionais de ofuscação. O conteúdo útil é reconstruído por operações de decodificação, descriptografia e descompressão, sem necessidade de publicar o payload final como arquivo PE convencional no disco desde o primeiro momento. O resultado dessa etapa é o carregamento de dois executáveis .NET em memória. A separação dos módulos tem relevância operacional: o primeiro prepara o ambiente contra inspeção, enquanto o segundo participa do carregamento do payload final. Essa divisão também complica a análise porque cada componente expõe apenas parte da intenção da cadeia, exigindo correlação entre criação de processo, carregamento dinâmico, chamadas de memória e execução gerenciada.
O primeiro módulo .NET contém ofuscação volumosa, com expansão artificial de código, uso repetitivo de expressões matemáticas e strings cifradas. A análise do fluxo mostrou resolução dinâmica de ponteiros para funções e presença de rotinas associadas a bibliotecas do Windows, como ntdll.dll. O módulo verifica o contexto de execução com IsWow64Process para selecionar a biblioteca apropriada e atua sobre seções de código em memória. A técnica descrita envolve alteração de proteção da seção .text com VirtualProtect, cópia de uma versão não instrumentada da seção e restauração de permissões. Também há lógica para aplicar bytes que fazem determinadas funções retornarem erro, como 0x80070057, o que pode interferir em mecanismos de monitoramento ou instrumentação.
O segundo módulo .NET é menor, mas mantém ofuscação suficiente para atrasar compreensão automatizada. Seu papel é entregar o payload Remcos a outro componente, LoadPE, obtido a partir dos recursos do próprio arquivo. LoadPE realiza carregamento reflexivo de um executável PE, técnica na qual o binário é mapeado e executado em memória sem seguir integralmente o caminho padrão de carregamento a partir do disco. No caso descrito, o Remcos fica embutido nos recursos e é fornecido ao carregador como argumento interno. O payload final ainda contém uma configuração cifrada em recurso identificado como SETTING, compatível com a necessidade de armazenar parâmetros operacionais do RAT sem expô-los diretamente em texto claro.
A superfície exposta é formada principalmente por caixas de e-mail corporativas, estáções de trabalho Windows e controles de endpoint que permitem a abertura de anexos compactados contendo scripts. Como a campanha foi direcionada a empresas de múltiplos setores na Colômbia, a seleção de iscas locais foi parte essencial do vetor. Ambientes com usuários que recebem faturas, notificações financeiras, cobranças ou documentos de fornecedores têm maior probabilidade de encontrar mensagens com aparência plausível. A cadeia não exige, pelo material analisado, exploração de vulnerabilidade específica ou CVE; a pré-condição central é a execução do conteúdo pelo usuário após o recebimento do anexo.
O risco técnico aumenta em ambientes onde BAT, comando operacional omitido e execução .NET são permitidos sem controle contextual. A presença de comando operacional omitido não é maliciosa por si só, mas sua execução a partir de um script extraído de arquivo compactado, com código ofuscado e posterior carregamento de módulos em memória, cria uma sequência de alto valor para detecção. O uso de carregamento reflexivo também reduz a eficácia de defesas que dependem exclusivamente de reputação de arquivo ou varredura estática do payload final, já que o Remcos é entregue a partir de recursos internos e executado sem o mesmo padrão de escrita em disco que muitos controles tradicionais esperam observar.
- Contas de e-mail corporativas que recebem anexos compactados com supostos documentos financeiros ou administrativos.
- Endpoints Windows nos quais usuários podem extrair arquivos e acionar scripts
BATprovenientes de anexos externos. - Ambientes que permitem
comando operacional omitidoofuscado, carregamento dinâmico de.NETe execução em memória sem correlação entre eventos. - Estáções sem política restritiva para arquivos com dupla extensão ou nomes desenhados para ocultar o tipo real do executável.
A investigação defensiva deve correlacionar eventos de e-mail, extração de arquivo, criação de processo e comportamento em memória. Um sinal relevante é a sequência em que um cliente de e-mail ou navegador grava um arquivo compactado, um utilitário de extração cria um BAT e esse script aciona comando operacional omitido. O nome do arquivo, o tema da mensagem e a presença de dupla extensão devem ser tratados como contexto adicional, não como único critério. Como a campanha usa temas financeiros e corporativos, mensagens com anexos compactados associadas a urgência, dívida vencida, faturas ou documentos pendentes merecem análise quando acompanhadas de execução local.
No endpoint, a telemetria mais útil está na árvore de processos e no comportamento de memória. Relações incomuns entre comando operacional omitido, scripts BAT, comando operacional omitido, carregamento de runtime .NET e execução sem gravação clara do payload final são indicadores comportamentais mais robustos do que nomes de arquivo isolados. Também é importante observar chamadas que alteram permissões de memória, manipulação de seções como .text, resolução dinâmica de APIs e padrões de unhooking envolvendo ntdll.dll. Esses sinais indicam tentativa de reduzir visibilidade de sensores e podem aparecer antes da instalação efetiva ou do uso interativo do RAT.
Após a execução do Remcos, a defesa deve procurar evidências compatíveis com controle remoto e coleta de dados. O contexto descreve capacidades como keylogging, vigilância remota, acesso não autorizado, infecções posteriores, tomada de contas e exfiltração de dados. Portanto, a análise deve incluir processos persistentes ou anômalos, conexões externas incomuns iniciadas pelo usuário comprometido, acesso a navegadores e aplicativos com credenciais, manipulação de arquivos sensíveis e artefatos de captura de teclas. Como não há IoCs de rede ou hashes no material analisado, a abordagem de hunting precisa ser comportamental e baseada em cadeias de execução.
- Anexo
ZIP,RARouTGZrecebido por e-mail e extraído pouco antes da execução de um arquivoBAT. - Processo
comando operacional omitidoiniciado por script extraído de anexo, especialmente com argumentos longos, codificados ou ofuscados. - Carregamento de módulos
.NETem memória após decodificação, descriptografia e descompressão de dados internos. - Alterações de proteção de memória com comportamento compatível com manipulação de seção
.texte unhooking de bibliotecas do Windows. - Execução reflexiva por componente
LoadPEe ausência de gravação convencional do payload Remcos antes da execução. - Sinais pós-comprometimento compatíveis com RAT, como controle remoto, keylogging, coleta de credenciais digitadas e conexões externas anômalas.
A contenção deve começar pelos pontos em que a cadeia é mais previsível: e-mail, anexo compactado e execução de script. Políticas de gateway devem tratar arquivos compactados com scripts internos como conteúdo de alto risco, especialmente quando a mensagem combina urgência financeira com remetente externo ou identidade corporativa simulada. Em endpoints, controles de aplicação podem limitar a execução de BAT extraído de diretórios de download, temporários ou anexos de e-mail. O mesmo vale para comando operacional omitido acionado por scripts locais recém-criados, com conteúdo ofuscado ou com uso de dados codificados. Essas medidas reduzem a chance de o fluxo chegar aos módulos .NET e ao carregamento reflexivo.
Para máquinas com sinais compatíveis com a cadeia, a resposta deve preservar artefatos de e-mail, anexos, árvore de processos, memória quando possível, logs de comando operacional omitido, eventos de criação de processo e conexões de rede. Como Remcos pode viabilizar controle remoto e captura de entradas do usuário, contas usadas no endpoint suspeito devem passar por revisão de sessão, revogação de tokens quando aplicável e rotação de credenciais baseada em risco. A investigação também deve verificar se houve instalação de outros componentes, já que infecções posteriores são uma consequência possível de um RAT com controle completo do sistema.
A validação pós-incidente precisa confirmar que as regras defensivas cobrem a cadeia completa, não apenas um hash ou nome de arquivo. Detecções devem combinar origem de e-mail, tipo de anexo, execução de BAT, acionamento de comando operacional omitido, carregamento .NET, alteração de memória e comportamento de RAT. Esse encadeamento reduz falsos negativos quando os operadores modificam nomes, empacotamento ou ofuscação, mas preservam a lógica de execução. Onde houver EDR, a prioridade é criar alertas de correlação para a sequência de eventos; onde houver apenas antivírus tradicional, a prioridade é bloquear a execução de scripts provenientes de anexos e endurecer inspeção de conteúdo compactado.
- Bloqueio ou quarentena de anexos compactados que contenham
BAT, scripts ou executáveis, especialmente em mensagens externas com temas financeiros. - Restrição de execução de
comando operacional omitidoiniciado por arquivos extraídos de e-mail, diretórios temporários ou caminhos de download. - Criação de regra comportamental para árvore
BATparacomando operacional omitidopara runtime.NETcom dados codificados, descriptografados ou descomprimidos em memória. - Coleta de memória e preservação de artefatos em endpoints com sinais de carregamento reflexivo ou manipulação de
ntdll.dll. - Revisão de contas usadas no sistema comprometido, encerramento de sessões suspeitas e rotação de credenciais quando houver indício de keylogging ou tomada de conta.
- Reprocessamento retroativo de logs de e-mail e endpoint para identificar outros destinatários que receberam anexos semelhantes ou executaram a mesma cadeia.
0 Comentários