Código HTML do Conteúdo
Post: MostereRAT tem como alvo usuários do Windows com táticas furtivas - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<div>
<div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-8e4c0364-1a92-4f0a-ba5f-366367f80f3d">
<p>Uma campanha de phishing que oferece uma nova variedade de malware, o MostereRAT, foi descoberta por pesquisadores de segurança cibernética. O Trojan de Acesso Remoto (RAT) tem como alvo os sistemas Microsoft Windows e dá aos invasores controle total sobre as máquinas comprometidas.</p>
<p>De acordo com o FortiGuard Labs, que descobriu a ameaça, o que diferencia essa campanha é o uso em camadas de técnicas avançadas de evasão. O malware é escrito em Easy Programming Language (EPL), uma linguagem de codificação baseada em chinês raramente usada em ataques cibernéticos, e depende de vários estágios para ocultar o comportamento malicioso.</p>
<p>Ele pode desativar ferramentas de segurança, bloquear o tráfego antivírus e estabelecer comunicações seguras com seu servidor de comando e controle (C2) usando TLS mútuo (mTLS).</p>
<h3><strong>Cadeia de ataque e entrega</strong></h3>
<p>A campanha começa com e-mails de phishing que parecem ser consultas comerciais legítimas, visando principalmente usuários japoneses. Depois que a vítima clica em um link, um documento do Word contendo um arquivo oculto é baixado. Esse arquivo direciona o usuário a abrir um executável incorporado, que inicia o malware.</p>
<p>O executável descriptografa seus componentes e os instala no diretório do sistema. Os serviços são então criados para garantir a persistência, com alguns sendo executados sob privilégios de nível SYSTEM para acesso máximo. Antes de fechar, o programa exibe uma mensagem falsa em chinês simplificado sugerindo que o arquivo é incompatível, uma tática destinada a incentivar a disseminação adicional.</p>
<p><em><a href="https://www.infosecurity-magazine.com/news/shadowsilk-targets-central-asian/" target="_blank">Leia mais sobre campanhas de phishing direcionadas aos mercados asiáticos: Campanha ShadowSilk tem como alvo governos da Ásia Central</a></em></p>
<p>Lauren Rucker, analista sênior de inteligência de ameaças cibernéticas da Deepwatch, disse: “Dado que o vetor de ataque inicial são os e-mails de phishing que levam a links maliciosos e downloads de sites, a segurança do navegador é uma área crítica para a defesa”.</p>
<p>Ela acrescentou que a aplicação de políticas que restringem downloads automáticos e limitam os privilégios do usuário pode ajudar a evitar o escalonamento para SYSTEM ou TrustedInstaller.</p>
<p>O MostereRAT usa vários métodos para interferir nas proteções de segurança. Ele pode desativar o Windows Update, encerrar processos antivírus e impedir que as ferramentas de segurança se comuniquem com seus servidores.</p>
<p>O malware também aumenta os privilégios imitando a conta TrustedInstaller, uma das mais poderosas em sistemas Windows.</p>
<p>“Embora esse malware use algumas técnicas criativas para evitar a detecção, encadeando novas linguagens de script com ferramentas confiáveis de acesso remoto, ele ainda segue um padrão comum de exploração de usuários e endpoints superprivilegiados sem controle de aplicativos”, explicou James Maude, CTO de campo da BeyondTrust.</p>
<h3><strong>Recursos e ferramentas de acesso remoto</strong></h3>
<p>Uma vez estabelecido, o RAT suporta uma ampla gama de funções, incluindo:</p>
<ul>
<li>
<p>Keylogging e coleta de informações do sistema</p>
</li>
<li>
<p>Baixando e executando cargas nos formatos EXE, DLL, EPK ou shellcode</p>
</li>
<li>
<p>Criando contas de administrador ocultas para persistência</p>
</li>
<li>
<p>Execução de ferramentas de acesso remoto como AnyDesk, TightVNC e RDP Wrapper</p>
</li>
</ul>
<p>Laboratórios FortiGuard<a href="https://www.fortinet.com/blog/threat-research/mostererat-deployed-anydesk-tightvnc-for-covert-full-access" target="_blank"> Observou</a> que partes da infraestrutura do malware estavam anteriormente vinculadas a um trojan bancário relatado em 2020. Sua evolução para <em>MostereRAT</em> destaca como os agentes de ameaças continuam a refinar técnicas para escapar dos sistemas de detecção modernos.</p>
<p>Maude enfatizou a importância de reduzir privilégios e controlar aplicativos. “Se você remover o privilégio de administrador local, reduzirá muito a superfície de ataque e limitará o impacto de uma infecção por malware”, concluiu.</p>
</div>
</div>
</div></div>