{"id":4715,"date":"2025-09-10T16:12:39","date_gmt":"2025-09-10T21:12:39","guid":{"rendered":"https:\/\/cert.pa\/?p=4715"},"modified":"2025-09-10T16:20:06","modified_gmt":"2025-09-10T21:20:06","slug":"recomendacion-para-detectar-mostererat","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=4715","title":{"rendered":"Recomendaci\u00f3n para detectar MostereRAT"},"content":{"rendered":"\n<p><strong>Gravedad:<\/strong> Critica<\/p>\n\n\n\n<p><strong>Fecha de publicaci\u00f3n:<\/strong> 10 de septiembre de 2025<\/p>\n\n\n\n<p><strong>Fecha de modificaci\u00f3n:<\/strong> 10 de septiembre de 2025<\/p>\n\n\n\n<p><strong>\u00daltima revisi\u00f3n:<\/strong> Revisi\u00f3n A.<\/p>\n\n\n\n<p><strong>Fuente:<\/strong> fortinet.com<\/p>\n\n\n\n<p><strong>Sistemas afectados<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Microsoft Windows<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Detalles del troyano MostereRAT:<\/h2>\n\n\n\n<p>Esta es una un <strong>troyano de acceso remoto (RAT)<\/strong>, que est\u00e1 siendo utilizado en campa\u00f1as de ataques<strong> phishing<\/strong> altamente sofisticados orientados al sector financiero.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Explotaci\u00f3n<\/h2>\n\n\n\n<p>Esta campa\u00f1a de ataque utiliza la ingenier\u00eda social como su vector inicial y m\u00e9todos de propagaci\u00f3n para facilitar la propagaci\u00f3n de la amenaza mediante un phishing y archivo adjunto comprimido como por ejemplo ZIP. Adem\u00e1s, MostereRAT emplea t\u00e9cnicas m\u00e1s avanzadas y sofisticadas, como la incorporaci\u00f3n de un programa EPL con instalaci\u00f3n DLL, EPK o EXE; ocultando el m\u00e9todo de creaci\u00f3n de servicios, bloqueando el tr\u00e1fico de soluciones AV, funcionando como TrustedInstaller, utilizando mTLS, y cambiando a herramientas leg\u00edtimas de acceso remoto como AnyDesk, tightVNC y RDP Wrapper para controlar el sistema de v\u00edctimas.<\/p>\n\n\n\n<p>Estas t\u00e1cticas aumentan significativamente la dificultad de detecci\u00f3n, prevenci\u00f3n y an\u00e1lisis. Adem\u00e1s de mantener actualizada su soluci\u00f3n, educar a los usuarios sobre los peligros de la ingenier\u00eda social sigue siendo esencial.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Implementar plan \u00e1gil de actualizaci\u00f3n o parcheo con los sistemas con vulnerabilidades cr\u00edticas y altas.<\/li>\n<\/ol>\n\n\n\n<p>2. Implementar herramienta m\u00e1s sofisticadas para la detecci\u00f3n y mitigaci\u00f3n como por ejemplo: XDR, NDR, EDR, entre otros.<\/p>\n\n\n\n<p>3. Implementar herramientas de m\u00faltiple factor de autenticaci\u00f3n (MFA)<\/p>\n\n\n\n<p>4. Agregar en las lista de amenazas los datos IP origen malicioso en su equipo perimetral en una lista de bloque los indicadores de compromisos (IOC).<\/p>\n\n\n\n<p>Dominio:<\/p>\n\n\n\n<p>www[.]efu66[.]com<br>m\u00e1sere[.]com<br>huanyu3333[.]com<br>idkua93dkh9590764648t18822056bck[.]com<br>osjfd923bk78735547771x3690026ddl[.]com<br>zzzs037909830545465195353458278[.]com<br>xxxxxx12523439372808080850850916444[.]com<\/p>\n\n\n\n<p>Archivo:<\/p>\n\n\n\n<p>d281e41521ea88f923cf11389943a04046557ha2d20d30b64e02af1c04c1<br>4e3cdeba19e5749aa88329bc339ac67ac67ac777ea7925ba082525a421cada083706a4e<br>546a3418a26f283a26a26d\u00e96c808989c14949a1e1e22656553ce8172ca622fd9b<br>3c621b0c91b758767f88c88cbd041c8c701b9806aa78f2e08f932b4b4bb<br>926b2b9349dbdddd4704e117304c2f0edfd2edfd266e4c91f91b9325ecb11fe83b<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusi\u00f3n<\/h2>\n\n\n\n<p>En caso de detecci\u00f3n de comportamiento inusuales comunicar o contactar a su departamento de seguridad para la realizar an\u00e1lisis m\u00e1s exhaustivo ante comportamiento inusual y malicioso en la red interna y el per\u00edmetro. Realizar acci\u00f3n de respaldo de seguridad de los datos cr\u00edticos y validar que est\u00e9 en correcto funcionamiento.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">&nbsp;Referencias<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/mostererat-deployed-anydesk-tightvnc-for-covert-full-access\">https:\/\/www.fortinet.com\/blog\/threat-research\/mostererat-deployed-anydesk-tightvnc-for-covert-full-access<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/thehackernews.com\/2025\/09\/from-mostererat-to-clickfix-new-malware.html\">https:\/\/thehackernews.com\/2025\/09\/from-mostererat-to-clickfix-new-malware.html<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Critica Fecha de publicaci\u00f3n: 10 de septiembre de 2025 Fecha de modificaci\u00f3n: 10 de septiembre de 2025 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Fuente: fortinet.com Sistemas afectados Microsoft Windows Detalles del troyano MostereRAT: Esta es una&#8230;<\/p>\n","protected":false},"author":7,"featured_media":4717,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-4715","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/4715","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4715"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/4715\/revisions"}],"predecessor-version":[{"id":4716,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/4715\/revisions\/4716"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/4717"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4715"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4715"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4715"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}