Троян за фотографиями знаменитостей

Исследователи FortiGuard Labs обнаружили изощренную кибератаку MostereRAT, нацеленную на японских пользователей. Жертвы получают фишинговые письма с архивом, внутри которого скрыт исполняемый файл. Для маскировки хакеры используют изображения знаменитостей, за которыми прячут зашифрованный вредоносный код.

Уникальность атаки — в применении малоизвестного языка программирования (EPL), что значительно затрудняет анализ для стандартных систем защиты. Первый модуль троянца отвечает за внедрение в систему и получение максимальных привилегий, вплоть до уровня TrustedInstaller. Второй модуль открывает полный доступ к жертве, позволяя загружать файлы, красть данные и выполнять команды.

Особая опасность заключается в комплексном подходе к отключению защиты. Код целенаправленно ищет и блокирует работу популярных антивирусов, включая продукты ESET, Avast и встроенный Защитник Windows, чтобы беспрепятственно действовать в системе.

Финальная цель — скрытно установить легальные программы для удаленного доступа, такие как AnyDesk и TightVNC. Это позволяет злоумышленникам оставаться в системе даже после удаления основного вредоноса. Специалисты рекомендуют проверять сеть на наличие неавторизованных RDP-подключений и повышать осведомленность сотрудников о фишинге.