Gravedad: Critica
Fecha de publicación: 10 de septiembre de 2025
Fecha de modificación: 10 de septiembre de 2025
Última revisión: Revisión A.
Fuente: fortinet.com
Sistemas afectados
- Microsoft Windows
Detalles del troyano MostereRAT:
Esta es una un troyano de acceso remoto (RAT), que está siendo utilizado en campañas de ataques phishing altamente sofisticados orientados al sector financiero.
Explotación
Esta campaña de ataque utiliza la ingeniería social como su vector inicial y métodos de propagación para facilitar la propagación de la amenaza mediante un phishing y archivo adjunto comprimido como por ejemplo ZIP. Además, MostereRAT emplea técnicas más avanzadas y sofisticadas, como la incorporación de un programa EPL con instalación DLL, EPK o EXE; ocultando el método de creación de servicios, bloqueando el tráfico de soluciones AV, funcionando como TrustedInstaller, utilizando mTLS, y cambiando a herramientas legítimas de acceso remoto como AnyDesk, tightVNC y RDP Wrapper para controlar el sistema de víctimas.
Estas tácticas aumentan significativamente la dificultad de detección, prevención y análisis. Además de mantener actualizada su solución, educar a los usuarios sobre los peligros de la ingeniería social sigue siendo esencial.
Mitigación
- Implementar plan ágil de actualización o parcheo con los sistemas con vulnerabilidades críticas y altas.
2. Implementar herramienta más sofisticadas para la detección y mitigación como por ejemplo: XDR, NDR, EDR, entre otros.
3. Implementar herramientas de múltiple factor de autenticación (MFA)
4. Agregar en las lista de amenazas los datos IP origen malicioso en su equipo perimetral en una lista de bloque los indicadores de compromisos (IOC).
Dominio:
www[.]efu66[.]com
másere[.]com
huanyu3333[.]com
idkua93dkh9590764648t18822056bck[.]com
osjfd923bk78735547771x3690026ddl[.]com
zzzs037909830545465195353458278[.]com
xxxxxx12523439372808080850850916444[.]com
Archivo:
d281e41521ea88f923cf11389943a04046557ha2d20d30b64e02af1c04c1
4e3cdeba19e5749aa88329bc339ac67ac67ac777ea7925ba082525a421cada083706a4e
546a3418a26f283a26a26dé6c808989c14949a1e1e22656553ce8172ca622fd9b
3c621b0c91b758767f88c88cbd041c8c701b9806aa78f2e08f932b4b4bb
926b2b9349dbdddd4704e117304c2f0edfd2edfd266e4c91f91b9325ecb11fe83b
Conclusión
En caso de detección de comportamiento inusuales comunicar o contactar a su departamento de seguridad para la realizar análisis más exhaustivo ante comportamiento inusual y malicioso en la red interna y el perímetro. Realizar acción de respaldo de seguridad de los datos críticos y validar que esté en correcto funcionamiento.