MostereRAT
A Fortinet jelentése egy különösen alattomos zsarolóprogramot mutat be, amely akár teljes rendszerhozzáférést biztosít a támadónak – ráadásul úgy, hogy mindeközben észrevétlen marad. A történet japán felhasználók ellen irányuló adathalász kampánnyal kezdődik, amikor csaló e-mailekkel csalják rá a célpontokat, hogy letöltsenek egy fertőzött Word dokumentumot. Az alkalmazott MostereRAT nevű malware már nem csupán egy egyszerű zsarolóprogram, távoli elérést biztosító eszközöket telepít maga után, például AnyDesk-et és TightVNC-t – mindezt úgy, hogy a felhasználó és a biztonsági rendszerek azt hiszik, minden rendben van.
A MostereRAT alkalmazza az Easy Programming Language (EPL) nevű ritkán használt nyelvet, amelyet a támadók azért választanak, mert így az automatikus védelmi rendszerek észlelése szinte lehetetlenné válik. A malware leállítja az antivírus-programokat, megzavarja az endpoint-védelmet, és akár a Windows legmagasabb jogosultságú fiókjához, a TrustedInstaller-éhez jut hozzá, ezzel teljes kontrollt szerezve a rendszer felett.
Bár a támadási lánc egyes elemei és a használt C2 domainek már egy 2020-as nyilvános jelentésben felbukkantak egy banki trójaihoz kapcsolódva, a kártevő azóta átalakult: ma már egy teljes értékű Remote Access Trojan (RAT), amelyet a kutatók MostereRAT néven azonosítottak. A mostani kampány az emberi tényezőt használja ki elsődleges fertőzési vektorként: célzott adathalász e-mailek segítségével veszi rá főként japán felhasználókat, hogy kártékony hivatkozásokra kattintsanak. Ezek a levelek üzleti megkereséseket utánoznak, így a címzettek gyanú nélkül megnyitják a csatolt vagy belinkelt tartalmakat, amelyek aztán a fertőzött webhelyekre vezetik őket.
A MostereRAT további különlegessége, hogy elrejti a szolgáltatások létrehozásának módját, blokkolja az antivírus-megoldások forgalmát, és a Windows rendszerben a TrustedInstaller szintjén fut, így szinte korlátlan hozzáférést kap. A titkosított kommunikáció és a legitim távoli elérésre szolgáló eszközök használata rendkívül megnehezíti a felderítést és az incidenskezelést. A FortiGuard Labs figyelmeztet: a sikeres védekezéshez nem elegendő a technikai eszközök frissítése, a felhasználók oktatása és a social engineering taktikák tudatosítása is kulcsfontosságú.
