Los usuarios de Windows deben estar en alerta máxima ante el troyano de acceso remoto (RAT) Remcos. Este malware implementa una carga útil increíblemente sigilosa a través del phishing, sin necesidad de descargas. Un solo clic descuidado en un enlace ZIP malicioso, y el RAT entra en acción, ejecutando aplicaciones HTML a través de PowerShell. Desde allí, puede capturar capturas de pantalla, registrar pulsaciones de teclas y tomar el control total de tu sistema.
A continuación, te indicamos cómo proteger tu PowerShell de Remcos RAT y de cualquier otro ataque sin archivos (Fileless).
Cómo Remcos RAT secuestra PowerShell para apoderarse de tu sistema
La empresa de seguridad Qualys reveló la simplicidad del ataque Remcos RAT. Las víctimas reciben un archivo ZIP que contiene un archivo LNK engañoso, un acceso directo de Windows disfrazado de documento real. En mayo de 2025, los atacantes están utilizando correos electrónicos de phishing con temática de impuestos, pero las variantes futuras podrían usar cualquier cosa que te engañe para que hagas clic en los enlaces.
Una vez que abres el archivo LNK, este activa una aplicación de Windows llamada mshta.exe (Microsoft HTML Application Host). A continuación, un script de PowerShell, como “24.ps1”, lanza un cargador de shellcode para ejecutar la carga útil de Remcos RAT en tiempo real. El ataque no almacena ningún archivo en el disco, sino que opera completamente en memoria.
Además, el antivirus Microsoft Defender no puede entrar en acción mientras los atacantes crean una conexión TLS remota. Actualmente se están conectando a un servidor de comandos llamado “ReadyRestaurants DOT com”. Google Chrome lo marca como “no seguro”. Pero esto podría cambiar en el futuro.
Prevención de la ejecución de Remcos RAT en PowerShell
Primero, inicia Windows PowerShell en modo administrador. Después de esto, comprueba si está en modo restringido o sin restricciones.
Get-ExecutionPolicySi tu dispositivo está configurado como restringido (que suele ser la configuración predeterminada), pasa al siguiente paso. De lo contrario, primero cambia de sin restricciones a restringido. Haz clic en A cuando te pida que confirmes este cambio.
Set-ExecutionPolicy RestrictedCambiar la política de ejecución “Sin restricciones” en PowerShell a “Restringida” para todos los usuarios.
Después de implementar el cambio anterior, sigue las recomendaciones de Qualys y configura PowerShell en el Modo de lenguaje restringido (Constrained Language Mode). Bloquea el acceso a métodos .NET y objetos COM sensibles, que Remcos RAT y malware similar suelen explotar.
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"Para un mejor efecto, asegúrate de que esta configuración se aplique a todos los usuarios, incluidos los usuarios que no son administradores, incluso si eres el único que utiliza el PC.
Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
Qualys también recomienda bloquear los argumentos de línea de comandos sospechosos. Esto impide que los scripts ocultos precursores, como el archivo HTA en los ataques Remcos RAT, se ejecuten en la ventana de PowerShell del usuario.
Dado que Remcos RAT aprovecha el shellcode de PowerShell, hay una manera de detectar estos comandos. A menos que ya esté disponible en tu PC, es posible que debas crear manualmente una ruta de registro que falta para “PowerShell” y “ScriptBlockLogging”.
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
Ahora, habilita el comando “ScriptBlockLogging” y establece su valor en 1. Esto impide que Remcos RAT y otro malware ejecuten cargadores de shellcode en PowerShell.
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
Hay otro comando relacionado para bloquear argumentos de línea de comandos sospechosos que usan scripts ocultos.
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1
Es bueno saber que el reciente aumento de scripts generados por IA en PowerShell ha sido un factor importante en la facilidad con la que los autores de malware pueden crear nuevos scripts para atacar sistemas.
Nota: algunos sitios web sugieren deshabilitar PowerShell para usuarios que no son administradores. No llegaremos a ese extremo porque usar una cuenta de Windows que no sea de administrador tiene muchas ventajas. Por un lado, te protege de las amenazas cibernéticas que roban credenciales de inicio de sesión, como NT LAN Manager (NTLM).
Deshabilitar MSHTA.exe para evitar que Remcos RAT se ejecute
Remcos RAT utiliza una aplicación del sistema común en tu PC con Windows llamada “mshta.exe”. Se encuentra en “C:\Windows\System32”.
Hoy en día, deshabilitar mshta.exe está perfectamente bien. Se usa muy raramente, excepto en aplicaciones heredadas como Internet Explorer o archivos macro de Office. A partir de Windows 11 versión 24H2 en adelante, ha quedado completamente en desuso.
Dado que mshta.exe opera archivos de aplicación HTML (HTA), se utiliza para ejecutar VBScript o JavaScript fuera de los navegadores con privilegios completos del sistema.
En Windows 11 Pro, escribe gpedit.msc en el comando Ejecutar para ir al Editor de directivas de grupo local. Desplázate por esta ruta: Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Directivas de restricción de software.
Si no existen directivas, haz clic con el botón derecho para crear una nueva directiva de seguridad seleccionando Nuevas directivas de restricción de software. Una vez creada, en Reglas adicionales, haz clic con el botón derecho y selecciona Nueva regla de ruta.
Cambia el nombre de esta ruta a C:\Windows\System32\mshta.exe. Establece el nivel de seguridad en No permitido y haz clic en Aplicar -> Aceptar.
En dispositivos Windows 11/10 Home, que carecen del Editor de directivas de grupo, hay otra manera. Inicia Seguridad de Windows y ve a Control de aplicaciones y navegador -> Protección contra vulnerabilidades -> Configuración de protección contra vulnerabilidades -> Configuración del programa. Aquí, haz clic en Agregar programa para personalizar.
Lo anterior mostrará dos opciones. Haz clic en Elegir la ruta exacta del archivo. Se abrirá la ventana del explorador de archivos. Navega hasta la ubicación del archivo mshta.exe, y se abrirá en otra ventana emergente.
Ahora, solo tienes que desactivar todas las directivas mshta.exe que anulan las precauciones del sistema. Si ya se han desactivado, no tienes que hacer nada.
Otros métodos para prevenir vulnerabilidades remotas en PowerShell
Aquí hay algunas otras cosas que puedes hacer para evitar que Remcos RAT y otras vulnerabilidades remotas se ejecuten en PowerShell.
- Invierte en software de protección de punto final de Windows, como Microsoft Defender, que es un producto diferente a Seguridad de Windows.
- Actualiza y aplica parches a tus sistemas regularmente. La migración a la versión 24H2 en Windows 11 proporcionará parches oportunos para estas últimas amenazas.
- Implementa el filtrado de correo electrónico y la protección contra el phishing en los correos electrónicos del navegador web que se utilizan en dispositivos Windows.
