A continuación, se indica el código malware que sirve para poder ejecutar la función maliciosa, esta simplemente leerá el código que ejecutará las acciones maliciosas de una aplicación web. Dichas instrucciones viajan directamente a la memoria y son ejecutadas en la máquina víctima (para este caso se ha utilizado PowerCat, que es una portabilización de NetCat en PowerShell para crear una shell remota).

Se comprueba la política antivirus de la máquina «víctima».

Se ejecuta el código malicioso con el motor A.V. activo y la sesión se ha creado con éxito.

Tras comprobar que el fichero BAT funciona correctamente se utiliza un conversor de BAT a EXE. Esta metodología es sencilla con la aplicación Bat to Exe Converter.

Existen medios adicionales para ofuscar el código ejecutable, por ejemplo, unirlo (binding) a un fichero legítimo.

Puedes descargar PowerCat desde la página del proyecto.

**https://gist.github.com/staaldraad/204928a6004e89553a8d3db0ce527fd5**

Una vez se genera el fichero puede observarse que el análisis de comportamiento detecta más patrones maliciosos por parte de 7zip que de nuestro propio fichero.

En este punto se usarán herramientas automatizadas para ocultar el fichero malicioso que se ha creado en el proceso manual y poder engañar así al objetivo con técnicas de ingeniería social, al utilizar ejecutables completamente legítimos. Para este punto se usará la herramienta thefatRAT, la cual nos permite esconder payloads que se personalizan en ficheros ejecutables.

Se seleccionará la opción 2, ya que se desea que se pase el código PowerShell compilado de C# a un fichero EXE.