Novo ataque fileless espalha trojan Remcos RAT por meio de arquivos LNK e PowerShell com MSHTA

Pesquisadores revelaram uma nova campanha de malware que utiliza arquivos LNK maliciosos combinados com scripts em PowerShell e a ferramenta MSHTA para instalar, de forma invisível ao sistema, o trojan de acesso remoto Remcos RAT. Essa ameaça, operando de maneira fileless (sem arquivos salvos no disco), permite que hackers tenham controle total sobre sistemas comprometidos, com mínima detecção por antivírus tradicionais.

Segundo o pesquisador Akshay Thorve, da Qualys, os hackers estão distribuindo arquivos ZIP contendo atalhos do Windows disfarçados como documentos do Office. Quando abertos, esses atalhos acionam o executável mshta.exe, uma ferramenta legítima da Microsoft, para carregar um arquivo HTML malicioso hospedado remotamente — o xlab22.hta. Este, por sua vez, executa scripts em Visual Basic que baixam novos arquivos HTA, um PDF de isca e um script PowerShell responsável por carregar o código do Remcos RAT diretamente na memória, sem deixar rastros no disco.

Esse tipo de ataque fileless é extremamente eficaz, pois escapa de muitos mecanismos de defesa baseados em assinaturas, já que não há arquivos fixos para escanear. O Remcos RAT, um malware conhecido e amplamente usado por grupos hackers, possui uma estrutura modular e é capaz de registrar teclas digitadas, capturar telas, monitorar a área de transferência e coletar informações do sistema e de programas em execução. Após a infecção, ele estabelece uma conexão segura (via TLS) com um servidor de comando e controle (C2), localizado em readysteaurants[.]com, garantindo persistência e exfiltração de dados.

Além dessa campanha, diversas outras ameaças estão surgindo no mesmo contexto, como o uso de loaders baseados em .NET que disfarçam cargas maliciosas dentro de recursos de imagens (como arquivos bitmap), técnica associada à esteganografia para burlar mecanismos de detecção tradicionais. Esses loaders são usados para distribuir outros trojans e infostealers como Agent Tesla, NovaStealer, VIPKeylogger, XWorm e o próprio Remcos.

Outro vetor em ascensão envolve campanhas de phishing altamente sofisticadas, como a distribuição de versões falsas do gerenciador de senhas KeePass para instalar o Cobalt Strike, o uso de documentos do Office armadilhados para espalhar o Formbook, ou ainda o emprego de links blob para carregar páginas falsas de login usando domínios legítimos como o OneDrive. Em ataques recentes contra alvos na Ucrânia e Polônia, os hackers utilizaram arquivos RAR disfarçados de instaladores para implantar o NetSupport RAT. Há também campanhas em andamento que coletam credenciais de e-mails como Outlook, Gmail e Hotmail e as enviam para bots no Telegram, como o "Blessed logs", ativo desde fevereiro de 2025.

Esse cenário alarmante é agravado pelo uso de inteligência artificial por grupos hackers, que têm automatizado a criação de malware, adaptado campanhas de phishing em tempo real e personalizado mensagens com precisão cirúrgica. Segundo a Cofense, essas técnicas polimórficas modificam o conteúdo de e-mails constantemente, dificultando a detecção por filtros tradicionais e exigindo soluções mais robustas de monitoramento pós-entrega.

Via - THN