Netcrook Logo
👤 LOGICFALCON
🗓️ 10 Apr 2026  

Nube de Engaño: Remcos RAT se Disfraza de Servicio de Microsoft en una Oleada de Phishing con Google Storage

Una nueva y astuta campaña de phishing aprovecha la infraestructura confiable de Google y los propios binarios de Microsoft para deslizar Remcos RAT incluso ante defensas de seguridad vigilantes.

Si pensabas que marcas de confianza como Google y Microsoft eran refugios seguros en la tormenta digital, piénsalo de nuevo. Los ciberdelincuentes han diseñado una sofisticada campaña que convierte estos mismos pilares de confianza en plataformas de lanzamiento para una de las amenazas de spyware más notorias de internet: Remcos RAT. Su último manual no solo supera a las herramientas de seguridad basadas en reputación, sino que también se desvanece en el trasfondo de las operaciones cotidianas del ordenador, dejando a las víctimas expuestas y a los defensores luchando por ponerse al día.

Dentro del Ataque: Del Almacenamiento en la Nube al Control Encubierto

La campaña comienza de manera aparentemente inocente: un enlace de Google Drive llega a la bandeja de entrada de la víctima, tan legítimo como cualquier documento compartido. Pero un solo clic desencadena una secuencia cuidadosamente coreografiada. El archivo inicial de JavaScript, diseñado para evadir el análisis automatizado, lanza un script de Visual Basic (VBS) que descarga y ejecuta silenciosamente cargas adicionales.

En segundo plano, el malware se adentra aún más. Los archivos se copian en carpetas ocultas de Windows y se establece persistencia plantando scripts maliciosos en el directorio de Inicio. Luego, scripts de PowerShell orquestan la descarga de cargas ofuscadas, lo que finalmente conduce a un cargador .NET obtenido de un servicio público de paste. Cada etapa está diseñada para el sigilo, con cargas que se ejecutan directamente en la memoria del sistema para minimizar rastros forenses.

Sin embargo, el verdadero golpe maestro reside en el abuso del propio RegSvcs.exe de Microsoft - un binario .NET firmado y confiable presente en cada máquina Windows. En lugar de dejar caer un ejecutable malicioso evidente, los atacantes copian este archivo legítimo a un directorio temporal y utilizan “process hollowing” para inyectar el código de Remcos RAT directamente en su espacio de memoria. El resultado: un servicio de Microsoft aparentemente normal ejecutándose en el sistema, mientras canaliza silenciosamente datos hacia los servidores de comando y control de los atacantes.

Esta combinación de entrega basada en la nube y ejecución fileless deja ciegas a las herramientas antivirus que dependen de la reputación de archivos o la simple detección por firmas. Para identificar estas amenazas, los equipos de seguridad deben orientarse hacia el análisis de comportamiento - examinando actividades inusuales de scripts, conexiones de red sospechosas desde binarios del sistema y uso anómalo de memoria que delate el process hollowing.

La Nueva Normalidad para los Defensores

Esta campaña es una llamada de atención: ya no se puede asumir que la infraestructura y los binarios confiables son seguros. Los Centros de Operaciones de Seguridad deben incorporar monitoreo avanzado e inteligencia de amenazas, rastreando indicadores sutiles en lugar de esperar señales de alerta evidentes. Para el usuario promedio, incluso un enlace familiar de la nube ahora exige una segunda mirada.

A medida que los atacantes continúan armando las herramientas cotidianas en las que confiamos, la línea entre la actividad legítima y el compromiso encubierto se vuelve cada vez más difusa. En esta nueva era, la vigilancia y la adaptabilidad son las únicas salvaguardas reales.

WIKICROOK

  • Remcos RAT: Remcos RAT es un troyano de acceso remoto que permite a los atacantes controlar sistemas infectados, robar datos, espiar y desplegar malware adicional de forma remota.
  • Process Hollowing: El process hollowing es una técnica en la que el malware se oculta en la memoria de un programa legítimo, permitiéndole evadir la detección y ejecutar acciones maliciosas.
  • Malware Fileless: El malware fileless es un software malicioso que se ejecuta en la memoria de un ordenador, evitando el almacenamiento en disco y dificultando la detección por herramientas de seguridad tradicionales.
  • Persistencia: La persistencia implica técnicas utilizadas por el malware para sobrevivir a reinicios y permanecer oculto en los sistemas, a menudo imitando procesos o actualizaciones legítimas.
  • Servidor de Comando y Control (C2): Un servidor de Comando y Control (C2) gestiona de forma remota dispositivos infectados por malware, enviando instrucciones y recibiendo datos robados de sistemas comprometidos.
Remcos RAT Phishing Attack Fileless Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news