Investigadores descubrieron una nueva y sofisticada campaña de phishing en Japón. Esta campaña distribuye MostereRAT, un troyano de acceso remoto (RAT) que se destaca por su capacidad para evadir las defensas y utilizar herramientas legítimas para pasar desapercibido.
Evolución y técnicas del malware
MostereRAT no es un malware común. Originalmente un troyano bancario, ha evolucionado para enfocarse en el espionaje y el control persistente. Su programación en EPL (Easy Programming Language), un lenguaje atípico para el desarrollo de malware dificulta su detección y análisis.
Se propaga a través de correos de phishing que aparentan ser consultas de negocios e incluyen archivos maliciosos en formato ZIP o Word con macros. Una vez dentro, MostereRAT utiliza técnicas avanzadas:
- Escalada de privilegios extrema: Duplica los tokens del sistema y opera con los permisos de TrustedInstaller, el nivel de acceso más alto en Windows.
- Desactivación de defensas: Bloquea herramientas de seguridad como Windows Defender, ESET, Kaspersky y McAfee usando técnicas similares a las de las herramientas de Red Team como EDRSilencer.
- Acceso remoto encubierto: Instala herramientas legítimas de acceso remoto como AnyDesk, TightVNC o RDP Wrapper para mantener la persistencia y evadir los controles de seguridad tradicionales.
- Comunicaciones seguras con C2: Usa mTLS (mutual TLS) para dificultar la intercepción y la atribución del tráfico malicioso.
- Amplias capacidades de espionaje: Puede realizar registro de pulsaciones de teclas (keylogging), capturas de pantalla, ejecución de comandos, robo de archivos y despliegue de cargas maliciosas adicionales.
Impacto potencial
Actualmente, los gobiernos y empresas en Japón son los principales objetivos de esta campaña, pero el malware tiene el potencial de expandirse a otras regiones.
El uso de herramientas legítimas y de técnicas de evasión avanzadas hace que MostereRAT sea una amenaza de alto riesgo para sectores críticos, ya que permite un control total sin activar alertas inmediatas.
Recomendaciones
- Bloquea las macros en los documentos y refuerza la capacitación de tus empleados para detectar correos de phishing.
- Restringe y monitorea el uso de herramientas de acceso remoto como AnyDesk, TightVNC y RDP Wrapper.
- Implementa controles de mínimo privilegio para evitar que los usuarios escalen a niveles de acceso críticos.
- Usa soluciones EDR con monitoreo de comportamiento capaz de detectar inyecciones, keylogging y conexiones anómalas con mTLS.
- Audita procesos y servicios sospechosos, como servicios falsos que se hacen pasar por legítimos (ej. “WpnCoreSvc”).
