Фишинговая кампания, выявленная FortiGuard Labs, нацелена на пользователей Windows с новой опасной угрозой под названием MostereRAT. Этот удаленный троян (RAT) предоставляет злоумышленникам полный контроль над скомпрометированными машинами и выделяется своим сложным арсеналом методов уклонения.
Усложненный механизм доставки
Кампания начинается с фишинговых писем, преимущественно нацеленных на пользователей из Японии. Эти письма побуждают жертв скачать документ Word с скрытым архивом. Этот файл направляет пользователя на запуск встроенной программы, которая расшифровывает компоненты, устанавливает их в системную директорию и создает службы для обеспечения постоянного присутствия. Некоторые из них действуют на уровне привилегий системы SYSTEM, в результате чего на экране появляется фальшивое сообщение об ошибке на упрощенном китайском языке, мотивируя дальнейшее распространение угрозы.
Эксперты настоятельно рекомендуют усилить безопасность браузера, ограничивать автоматические загрузки и ограничить привилегии пользователей, чтобы предотвратить эскалацию до уровня SYSTEM или TrustedInstaller.
Основные возможности MostereRAT
MostereRAT обладает возможностью записывать нажатия клавиш, собирать информацию о системе, загружать и выполнять вредоносные программы (EXE, DLL, EPK или shellcode). Кроме того, он способен создавать скрытые учетные записи администраторов и запускать инструменты удалённого управления, такие как AnyDesk, TightVNC и RDP Wrapper. Части инфраструктуры этого зловреда были ранее связаны с банковским троянцем 2020 года, показывая, как эволюционируют техники акторов угрозы.
Эксперты подчеркивают важность сокращения привилегий локальных администраторов и внедрения контроля приложений для уменьшения площади атаки и ограничения воздействия вредоносного ПО.
