Исследователи FortiGuard Labs сообщили о новой фишинговой кампании, в ходе которой распространяется троян удалённого доступа MostereRAT.
Атака нацелена на пользователей Windows и начинается с поддельных бизнес-писем, ведущих на сайты с заражёнными документами Word.
Внутри файлов жертвам предлагается единственная инструкция — «OpenTheDocument», после чего запускается исполняемый файл с вредоносной нагрузкой.
Особенностью кампании стало использование языка Easy Programming Language (EPL), редкого для киберугроз. Загруженный исполняемый файл маскируется под легитимный инструмент и содержит зашифрованные модули. После расшифровки они разворачиваются в системных каталогах и обеспечивают сохранение доступа через задачи автозагрузки и обход контроля безопасности Windows.
MostereRAT использует привилегии учётной записи TrustedInstaller для повышения прав и дублирует токены процессов по методикам из проекта NSudo. Для незаметного присутствия троян блокирует работу популярных антивирусов, применяя фильтры Windows Filtering Platform, и скрывает сетевую активность.
В списке атакуемых решений — Windows Defender, Avast, ESET, Avira, Malwarebytes и китайские продукты защиты.
Главная угроза заключается в том, что вредонос устанавливает легитимные утилиты удалённого доступа — AnyDesk, TightVNC и RDP Wrapper. Эти инструменты конфигурируются скрытно и дают злоумышленникам полный контроль над системой, оставаясь незаметными для пользователей.
Эксперты отмечают, что MostereRAT сочетает в себе социальную инженерию, обход защитных механизмов и использование «белых» программ, что делает угрозу особенно опасной для организаций и частных пользователей.
Атака нацелена на пользователей Windows и начинается с поддельных бизнес-писем, ведущих на сайты с заражёнными документами Word.
Внутри файлов жертвам предлагается единственная инструкция — «OpenTheDocument», после чего запускается исполняемый файл с вредоносной нагрузкой.
Особенностью кампании стало использование языка Easy Programming Language (EPL), редкого для киберугроз. Загруженный исполняемый файл маскируется под легитимный инструмент и содержит зашифрованные модули. После расшифровки они разворачиваются в системных каталогах и обеспечивают сохранение доступа через задачи автозагрузки и обход контроля безопасности Windows.
MostereRAT использует привилегии учётной записи TrustedInstaller для повышения прав и дублирует токены процессов по методикам из проекта NSudo. Для незаметного присутствия троян блокирует работу популярных антивирусов, применяя фильтры Windows Filtering Platform, и скрывает сетевую активность.
В списке атакуемых решений — Windows Defender, Avast, ESET, Avira, Malwarebytes и китайские продукты защиты.
Главная угроза заключается в том, что вредонос устанавливает легитимные утилиты удалённого доступа — AnyDesk, TightVNC и RDP Wrapper. Эти инструменты конфигурируются скрытно и дают злоумышленникам полный контроль над системой, оставаясь незаметными для пользователей.
Эксперты отмечают, что MostereRAT сочетает в себе социальную инженерию, обход защитных механизмов и использование «белых» программ, что делает угрозу особенно опасной для организаций и частных пользователей.
