São Paulo — InkDesign News — Uma nova campanha de phishing, acompanhada pela malware MostereRAT, tem gerado preocupação entre especialistas em segurança cibernética. Essa ameaça combina táticas avançadas de engano e técnicas de evasão para manter acesso clandestino a sistemas comprometidos.
Vetor de ataque
O vetor inicial da campanha envolve emails maliciosos que se disfarçam como correspondências empresariais legítimas, visando usuários do Windows no Japão. Ao clicar em um link, a vítima é levada a um site que baixa automaticamente um documento do Word armado com um arquivo compactado embutido. Esse documento cria a estrutura necessária para instalar o MostereRAT.
O mais notável é o uso da Easy Programming Language (EPL), uma linguagem raramente utilizada para desenvolvimento de malware, o que dificulta a detecção por ferramentas de segurança.
Impacto e resposta
A partir da instalação, o MostereRAT consegue escalar privilégios, evadir antivírus e manter persistência no sistema comprometido. Ele executa sua carga útil em várias etapas e pode desativar produtos antivírus como Windows Defender e Kaspersky. Além disso, a malware é capaz de registrar teclas digitadas e extrair dados sensíveis.
“O design do malware reflete objetivos estratégicos e flexíveis de longo prazo, com a capacidade de estender funcionalidades e empregar técnicas de evasão.”
(“The malware’s design reflects long-term, strategic, and flexible objectives, with capabilities to extend functionality, deploy additional payloads, and apply evasion techniques.”)— Yurren Wan, Pesquisador de Ameaças, Fortinet
Análise e recomendações
Espera-se que a campanha do MostereRAT continue a evoluir, principalmente devido à sua habilidade de se disfarçar como ferramentas de acesso remoto legítimas. Para mitigar esses riscos, organizações devem remover privilégios de administrador local e bloquear ferramentas de acesso remoto não aprovadas, evitando assim a exploração por parte dos atacantes.
A crescente sofisticação das táticas de evasão indica que a adoção de um controle rigoroso sobre permissões de acesso e o monitoramento constante são essenciais para proteger contrataques futuros.
As organizações precisam se preparar para um cenário em que as ameaças se tornam cada vez mais complexas.
Fonte: (Dark Reading – Segurança Cibernética)
