Atacantes implementan malware MostereRAT para eludir las defensas

El ataque se genera a través de phishing mediante correo electrónico altamente dirigidos (spearphishing) que inducen a la víctima a abrir un sitio comprometido o descargar un archivo Word (document.exe). El documento contiene un archivo comprimido incrustado que, al abrirse, lanza un ejecutable (basado en un ejemplo wxWidgets) que actúa como loader de múltiples etapas. Las imágenes que usa el atacante son en su mayoría fotos de personajes famosos. El ejecutable de primera etapa desempaqueta recursos cifrados en C:\ProgramData\Windows. El cifrado usado es sencillo: los investigadores observaron una rutina de resta byte-a-byte con el valor 0x41 para derivar las cargas útiles en una etapa posterior. Los módulos principales suelen llamarse maindll.db y elsedll.db y se cargan en memoria.

 

Descubre todos los detalles de cómo protegerte, revisando el boletín completo.

Descarga el boletín completo

Atacantes implementan malware MostereRAT para eludir las defensas