Tecnologías en palabras simples

Malware Remcos RAT: Asegura tu PowerShell contra ataques sin archivos

Imagen destacada: Evita que el virus Remcos RAT afecte a los dispositivos Windows.

Los usuarios de Windows deben estar en alta alerta por el troyano de acceso remoto Remcos (RAT). Este malware despliega una carga útil increíblemente sigilosa a través de phishing, sin necesidad de descargas. Un clic descuidado en un enlace ZIP malicioso, y el RAT entra en acción, ejecutando aplicaciones HTML a través de PowerShell. Desde allí, puede capturar capturas de pantalla, registrar pulsaciones de teclas y tomar el control total de tu sistema.

Aquí te mostramos cómo proteger tu PowerShell del Remcos RAT y de cualquier otro ataque sin archivos.

Cómo Remcos RAT secuestra PowerShell para tomar el control de tu sistema

La firma de seguridad Qualys reveló la simplicidad del ataque de Remcos RAT. Las víctimas reciben un ZIP que contiene un archivo LNK engañoso, un acceso directo de Windows disfrazado como un documento real. A partir de mayo de 2025, los atacantes están utilizando correos electrónicos de phishing con temática fiscal, pero las variantes futuras podrían usar cualquier cosa que te engañe para hacer clic en enlaces.

Una vez que abres el archivo LNK, activa una aplicación de Windows llamada mshta.exe (Microsoft HTML Application Host). A continuación, un script de PowerShell, como “24.ps1” lanza un cargador de shellcode para ejecutar la carga útil de Remcos RAT en tiempo real. El ataque no almacena archivos en el disco, sino que opera completamente en memoria.

Además, el antivirus Microsoft Defender no puede intervenir mientras los atacantes crean una conexión TLS remota. Actualmente están vinculando a un servidor de comandos llamado “ReadyRestaurants DOT com.” Google Chrome lo marca como “no seguro”. Pero esto podría cambiar en el futuro.

Importante: Windows PowerShell se ha convertido en una herramienta favorita para los ciberdelincuentes para llevar a cabo ataques sigilosos que pasan desapercibidos. El mes pasado, lo vimos con el malware Neptune RAT, que necesitaba que primero descargaras un archivo.

Prevenir que Remcos RAT se ejecute en PowerShell

Primero, inicia PowerShell en modo administrador. Después de esto, verifica si está en modo sin restricciones o restringido.

Get-ExecutionPolicy

Si tu dispositivo está configurado en restringido (que suele ser el valor predeterminado), pasa al siguiente paso. De lo contrario, primero cambia de sin restricciones a restringido. Haz clic en A cuando te pida que confirmes este cambio.

Set-ExecutionPolicy Restricted

Cambiando la política de ejecución

Después de implementar el cambio anterior, sigue las recomendaciones de Qualys y configura PowerShell en Modo de Lenguaje Restringido. Esto bloquea el acceso a métodos sensibles de .NET y objetos COM, que Remcos RAT y malware similar suelen explotar.

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

Para obtener el mejor efecto, asegúrate de que esta configuración se aplique a todos los usuarios, incluidos los usuarios no administradores, incluso si eres el único que usa la PC.

Set-ExecutionPolicy-Scope LocalMachine -ExecutionPolicy Restricted -Force

Configurando

Qualys también recomienda bloquear argumentos de línea de comandos de PowerShell sospechosos. Esto previene que scripts ocultos precursoras, como el archivo HTA en ataques de Remcos RAT, se ejecuten en la ventana de PowerShell del usuario.

Dado que Remcos RAT aprovecha el shellcode de PowerShell, hay una manera de detectar estos comandos. A menos que ya esté disponible en tu PC, es posible que debas crear manualmente una ruta de registro faltante para “PowerShell” y “ScriptBlockLogging.”

New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell"-Force  
New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Force  
Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Name"EnableScriptBlockLogging"-Value1

Creando una ruta de registro faltante para

Ahora, habilita el comando “ScriptBlockLogging” y establece su valor en 1. Esto previene que Remcos RAT y otros malware ejecuten cargadores de shellcode en PowerShell.

Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Name"EnableScriptBlockLogging"-Value1

Valor de

Hay otro comando relacionado para bloquear argumentos de línea de comandos sospechosos utilizando scripts ocultos.

New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell"-Name"CommandLineFiltering"-Force  
Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering"-Name"EnableCommandLineFiltering"-Value1

Bueno saber: el reciente aumento de scripts generados por IA en PowerShell ha sido un gran factor para que los autores de malware puedan crear fácilmente nuevos scripts para atacar sistemas.

Nota: algunos sitios web sugieren deshabilitar PowerShell para usuarios no administradores. No iremos a ese extremo porque usar una cuenta de Windows no administradora tiene muchas ventajas. Por un lado, te protege de amenazas cibernéticas que roban credenciales de inicio de sesión, como NT LAN Manager (NTLM).

Deshabilitar MSHTA.exe para prevenir que Remcos RAT se ejecute

Remcos RAT utiliza una aplicación del sistema común en tu PC con Windows llamada “mshta.exe”. Se encuentra en “C:\Windows\System32.”

Hoy en día, deshabilitar mshta.exe está perfectamente bien. Se usa muy raramente, excepto en aplicaciones heredadas como Internet Explorer o archivos de macros de Office. A partir de la versión 24H2 de Windows 11, ha sido completamente desaprobado.

Archivo de aplicación mshta.exe visible en la carpeta System32.

Dado que mshta.exe opera archivos de aplicación HTML (HTA), se utiliza para ejecutar VBScript o JavaScript fuera de los navegadores con privilegios completos del sistema.

En Windows 11 Pro, escribe gpedit.msc en el comando Ejecutar para ir al Editor de Políticas de Grupo Local. Ve por este camino: Configuración del Computador -> Configuraciones de Windows -> Configuraciones de Seguridad -> Políticas de Restricción de Software.

Visualizando

Si no existen políticas, haz clic derecho para crear una nueva política de seguridad seleccionando Nuevas Políticas de Restricción de Software. Una vez creada, bajo Reglas Adicionales, haz clic derecho y selecciona Nueva Regla de Ruta.

Haz clic derecho para agregar

Renombra esta ruta a C:\Windows\System32\mshta.exe. Establece el nivel de seguridad en Desautorizado y haz clic en Aplicar -> Aceptar.

En dispositivos Windows 11/10 Home, que carecen del Editor de Políticas de Grupo, hay otra manera. Inicia Seguridad de Windows y ve a Control de Aplicaciones y Navegadores -> Protección contra Explotaciones -> Configuraciones de Protección contra Explotaciones -> Configuraciones del Programa. Aquí, haz clic en Agregar programa para personalizar.

Haz clic en

Lo anterior mostrará dos opciones. Haz clic en Elegir la ruta exacta del archivo. Se abrirá la ventana del explorador de archivos. Navega a la ubicación del archivo mshta.exe, y se abrirá en otra ventana emergente.

Ahora, solo tienes que desactivar todas las políticas de mshta.exe que anulan las precauciones del sistema. Si ya se han desactivado, no tienes que hacer nada.

Desactivando todas las políticas de mshta.exe en Seguridad de Windows.

Relacionado: resuelve el problema si la Seguridad de Windows no está funcionando en tu dispositivo.

Otros métodos para prevenir exploits remotos en PowerShell

Aquí hay algunas otras cosas que puedes hacer para prevenir que Remcos RAT y otros exploits remotos se ejecuten en PowerShell.

  • Invierte en software de protección de endpoints de Windows, como Microsoft Defender, que es un producto diferente a la Seguridad de Windows.
  • Actualiza y parchea tus sistemas regularmente. Migrar a la versión 24H2 en Windows 11 proporcionará parches oportunos para estas últimas amenazas.
  • Implementa filtrado de correos electrónicos y protección contra phishing en los correos electrónicos de tu navegador web utilizados en dispositivos Windows.

Contenido

  1. Cómo Remcos RAT secuestra PowerShell para tomar el control de tu sistema
  2. Prevenir que Remcos RAT se ejecute en PowerShell
  3. Deshabilitar MSHTA.exe para prevenir que Remcos RAT se ejecute
  4. Otros métodos para prevenir exploits remotos en PowerShell
Panel de control de Ello

Ello: Explorando la Red Social Privada

Bitdefender No se Instala: 3 Soluciones Fáciles que Puedes Usar

Más sobre las soluciones de Bitdefender

Google elimina Inbox y le da seis meses de vida

aspect-ratios-16x9

Entendiendo las relaciones de aspecto de video

Administrador de Archivos con Etiquetas para Organizar tus Archivos: Top 5

Arreglar wake on LAN no funcionando

Wake On LAN No Funciona en Windows [Solucionado]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS y Consolas en el Mac

Google prueba una nueva función de Chrome para la elegibilidad de actualización a Windows 11