São Paulo — InkDesign News — Pesquisadores de segurança cibernética identificaram uma nova ameaça de malware chamada MostereRAT, que se espalha por meio de campanhas de phishing visando dispositivos Windows, apresentando um nível de severidade elevado.
Incidente e vulnerabilidade
O MostereRAT é uma forma de Remote Access Trojan (RAT), permitindo que atacantes assumam o controle total de um computador de forma remota. O golpe se inicia com e-mails de phishing que parecem ser consultas comerciais legítimas, direcionados ao público japonês. Ao clicar em um link malicioso, um arquivo comprometido é baixado automaticamente, conduzindo a vítima a abrir um arquivo contido em um arquivo compactado, culminando na execução do programa malicioso.
Impacto e resposta
O malware utiliza várias técnicas avançadas para evitar a detecção, como um código escrito na Easy Programming Language (EPL), dificultando a análise por especialistas. Além disso, o MostereRAT trabalha para desativar ferramentas de segurança e software antivírus, bloqueando tráfego de rede e desligando recursos de segurança do Windows. Ao estabelecer comunicação com o servidor de comando e controle, o malware utiliza um método avançado chamado mutual TLS (mTLS), tornando seu tráfego de rede mais difícil de detectar.
“Dado que o vetor de ataque inicial são e-mails de phishing levando a links maliciosos e downloads, a segurança do navegador é uma área crítica de defesa. É importante impor políticas de segurança do navegador que restrinjam downloads automáticos e solicitem confirmação dos usuários antes de baixar arquivos de fontes desconhecidas.
(“Given that the initial attack vector is phishing emails leading to malicious links and website downloads, browser security is a critical area for defence. Enforce browser security policies restricting automatic downloads and prompting users for confirmation before downloading files from unknown sources.”)— Lauren Rucker, Analista Sênior de Inteligência de Ameaças Cibernéticas, Deepwatch
Mitigações recomendadas
A Fortinet desenvolveu proteções para detectar e bloquear o MostereRAT e recomenda que organizações eduquem seus funcionários sobre os perigos da engenharia social. Configurar contas de usuários com privilégios mínimos é uma prática recomendada para evitar a elevação de privilégios em sistemas críticos. Tal estratégia dificulta a execução de ações maliciosas que poderiam comprometer ainda mais as redes.
“Além disso, as organizações devem configurar contas de usuários com os privilégios mínimos necessários para impedir que sistemas escalem privilégios para SYSTEM ou TrustedInstaller.
(“Additionally, organisations should configure user accounts with the minimum necessary privileges to prevent systems from escalating privileges to SYSTEM or TrustedInstaller.”)— Lauren Rucker, Analista Sênior de Inteligência de Ameaças Cibernéticas, Deepwatch
Os riscos residuais associados ao MostereRAT permanecem elevados, exigindo vigilância contínua e a adoção de práticas de defesa aprimoradas para mitigar as ameaças emergentes no cenário digital.
Fonte: (Hack Read – Segurança Cibernética)
