Una campaña de phishing que ofrece una nueva cepa de malware, Mostererat, ha sido descubierta por investigadores de ciberseguridad. El Trojan de acceso remoto (RAT) se dirige a los sistemas de Microsoft Windows y brinda a los atacantes control completo sobre máquinas comprometidas. Según Fortiguard Labs, que descubrió la amenaza, lo que distingue a esta campaña es su uso en capas de técnicas de evasión avanzada. El malware está escrito en Easy Programming Language (EPL), un lenguaje de codificación basado en chino que rara vez se usa en los ataques cibernéticos, y se basa en múltiples etapas para ocultar el comportamiento malicioso. Puede deshabilitar las herramientas de seguridad, bloquear el tráfico antivirus y establecer comunicaciones seguras con su servidor de comando y control (C2) utilizando TLS mutuo (MTL). Cadena de ataque y entrega La campaña comienza con correos electrónicos de phishing que parecen ser consultas comerciales legítimas, principalmente dirigidas a usuarios japoneses. Una vez que una víctima hace clic en un enlace, se descarga un documento de Word que contiene un archivo oculto. Ese archivo dirige al usuario que abra un ejecutable integrado, que inicia el malware. El ejecutable descifra sus componentes y los instala en el directorio del sistema. Luego se crean los servicios para garantizar la persistencia, con algunos que se ejecutan bajo privilegios a nivel de sistema para el máximo acceso. Antes de cerrar, el programa muestra un mensaje falso en chino simplificado que sugiere que el archivo es incompatible, una táctica destinada a fomentar una mayor propagación. Lea más sobre campañas de phishing dirigidas a los mercados asiáticos: la campaña de Shadowsilk se dirige a los gobiernos de Asia Central Lauren Rucker, analista senior de inteligencia de amenazas cibernéticas en Deepwatch, «Dado que el vector de ataque inicial está phishing correos electrónicos que conducen a enlaces maliciosos y descargas de sitios web, la seguridad del navegador es un área crítica para la defensa». Agregó que hacer cumplir las políticas que restringen las descargas automáticas y limitan los privilegios de los usuarios pueden ayudar a evitar la escalada al sistema o TrustedInstaller. Mostererat utiliza varios métodos para interferir con las protecciones de seguridad. Puede deshabilitar la actualización de Windows, terminar los procesos antivirus y bloquear las herramientas de seguridad de la comunicación con sus servidores. El malware también aumenta los privilegios al imitar la cuenta TrustedInstaller, una de las más potentes en los sistemas de Windows. «Si bien este malware utiliza algunas técnicas creativas para evadir la detección encadenando nuevos lenguajes de secuencia de comandos con herramientas de acceso remoto confiables, sigue siguiendo un patrón común de explotar a los usuarios y puntos finales sobrevivilizados sin control de aplicaciones», explicó James Maude, CTO de campo en Beyondtrust. Capabilities and Remote Access Tools Once established, the RAT supports a wide range of functions, including: Keylogging and system information collection Downloading and executing payloads in EXE, DLL, EPK or shellcode formats Creating hidden administrator accounts for persistence Running remote access tools like AnyDesk, TightVNC and RDP Wrapper FortiGuard Labs noted that parts of the malware’s infrastructure were previously linked to a banking Trojan informó en 2020. Su evolución en Mostererat destaca cómo los actores de amenaza continúan refinando las técnicas para evadir los sistemas de detección modernos. Maude enfatizó la importancia de reducir los privilegios y el control de aplicaciones. «Si elimina el privilegio del administrador local, reduce enormemente la superficie de ataque y limita el impacto de una infección por malware», concluyó.