Pesquisadores da Securonix identificaram uma campanha de malware multi‑estágio para Windows batizada SHADOW#REACTOR que utiliza arquivos de texto como estágio de distribuição, além de técnicas de carregamento em memória e ofuscação para reduzir detecção por soluções tradicionais.
Descoberta e características principais
A cadeia começa por um script Visual Basic ofuscado (VBS) entregue via recursos web comprometidos ou engenharia social, que por sua vez invoca múltiplos processos PowerShell. Em vez de baixar binários, o ataque busca fragmentos codificados em arquivos de texto (nomes citados pelos pesquisadores: qpwoe32.txt, qpwoe64.txt, teste32.txt, teste64.txt, config.txt) contendo assemblies codificados em base64.
Vetor e técnica de stage
O stager PowerShell implementa um laço de download com verificações de tamanho mínimo e mecanismos de retry: se o arquivo recebido for menor que o esperado, o stager tenta novamente, garantindo integridade dos fragmentos antes da reconstrução. Após validações, os fragmentos são decodificados e montados em assemblies .NET carregados inteiramente em memória via reflective loading.
Payload final e atribuição
A análise da Securonix correlacionou a assinatura final do payload com o RAT Remcos (um remote administration tool comercial frequentemente usado por atores maliciosos). O uso de Remcos como carga final indica objetivos típicos de acesso remoto persistente, roubo de dados e possível movimentação lateral.
Evasão e persistência
A abordagem “text-only staging” busca evitar detecção estática porque os conteúdos aparentam ser simples arquivos de texto, não binários executáveis. Combinado ao carregamento em memória e ao encadeamento de processos (wscript.exe → múltiplos PowerShell inline), o conjunto dificulta identificação por EDR/AV que se baseiam em assinaturas binárias e heurísticas tradicionais.
Evidências e limitações
Os pesquisadores identificaram padrões característicos em comandos PowerShell e operações de base64 que permitiram atribuir a cadeia a SHADOW#REACTOR. A detecção inicial ocorreu quando observadores notaram wscript.exe invocando repetidamente processos PowerShell com longas linhas inline — um comportamento anômalo e raro em operações legítimas.
Recomendações para defesa
- Monitorar execuções de wscript.exe e spawn de múltiplos PowerShell com comandos inline longos como caça‑a‑ameaças;
- Inspecionar tráfego de saída para requisições que retornem arquivos de texto potencialmente codificados e usar controles de egress para hosts desconhecidos;
- Hardenizar políticas de execução de scripts (constrain remoting, aplicar AppLocker/WDAC onde aplicável) e validar origem de arquivos recebidos via web ou e‑mail;
- Usar soluções EDR com capacidades de detecção comportamental e análise de carregamento em memória para identificar reflective loading e reconstrução de assemblies em runtime.
A técnica adotada por SHADOW#REACTOR representa uma evolução prática na evasão: ao separar a entrega em componentes textuais e carregar código em memória, atacantes reduzem superfície visível a scanners estáticos e forçam defensores a confiar em detecção comportamental e telemetria de rede para descobrir a cadeia de ataque.