Los investigadores de ciberseguridad de Fortinet FortiGuard Labs han revelado detalles alarmantes sobre una nueva campaña de phishing altamente sofisticada que distribuye un malware bancario sigiloso evolucionado en un troyano de acceso remoto (RAT) conocido como MostereRAT.
Este ataque representa un salto cualitativo en la evolución del malware financiero, ya que combina tácticas de ingeniería social, múltiples capas de evasión de seguridad y la capacidad de instalar herramientas adicionales para obtener control total sobre los sistemas comprometidos.
Un phishing diseñado para evadir defensas
Los correos electrónicos maliciosos están dirigidos principalmente a usuarios japoneses, quienes son engañados mediante señuelos relacionados con consultas de negocios. Al hacer clic en los enlaces incluidos, las víctimas son redirigidas a sitios comprometidos que alojan un documento de Microsoft Word manipulado.
Este documento incluye un archivo ZIP incrustado, que contiene un ejecutable responsable de desplegar MostereRAT. Una vez activado, el malware utiliza un enfoque por etapas para instalarse y expandir su alcance:
-
Oculta operaciones maliciosas.
-
Deshabilita herramientas de seguridad.
-
Cifra las comunicaciones con TLS mutuo (mTLS).
-
Sirve módulos adicionales escritos en EPL (Easy Programming Language).
El uso de EPL, un lenguaje visual poco común que admite chino, japonés e inglés, refuerza la sofisticación del ataque y dificulta su detección.
Capacidades avanzadas de MostereRAT
Una de las características más preocupantes de MostereRAT es su habilidad para ejecutarse como TrustedInstaller, una cuenta integrada en Windows con privilegios elevados. Esto le permite:
-
Modificar el Registro de Windows.
-
Eliminar archivos críticos del sistema.
-
Interferir con procesos esenciales de Windows.
-
Desactivar defensas de seguridad como antivirus o cortafuegos.
Además, el malware bloquea el tráfico de red asociado con una lista de programas de seguridad codificada, usando filtros de la Plataforma de Filtrado de Windows (WFP). Esta técnica es similar a la utilizada por herramientas avanzadas de ciberataque como EDRSilencer, lo que le permite operar sin levantar alertas.
Funciones de espionaje y robo de datos
Una vez instalado, MostereRAT despliega módulos capaces de:
-
Registrar pulsaciones de teclas.
-
Capturar pantallas en tiempo real.
-
Monitorear ventanas activas como Qianniu (herramienta de vendedores de Alibaba).
-
Eliminar herramientas de acceso remoto legítimas como AnyDesk, TigerVNC o TightVNC para reemplazarlas por versiones manipuladas.
-
Crear usuarios ocultos con privilegios de administrador.
-
Inyectar código malicioso en procesos críticos como svchost.exe mediante Early Bird Injection.
Con estas capacidades, los atacantes pueden robar credenciales, realizar movimientos laterales dentro de la red y mantener un acceso persistente.
Una amenaza potenciada por ingeniería social
Fortinet advierte que MostereRAT no solo es técnicamente avanzado, sino que también aprovecha ingeniería social a gran escala. Los atacantes manipulan a los usuarios con correos electrónicos que parecen legítimos, lo que incrementa las tasas de infección.
La compañía subraya que la educación de los usuarios es tan crucial como las defensas técnicas: reconocer intentos de phishing y evitar descargas desde enlaces sospechosos sigue siendo una de las mejores líneas de defensa.
ClickFix y MetaStealer: otra táctica emergente
Paralelamente, investigadores de Huntress y CloudSEK han detectado el uso de técnicas ClickFix, que engañan a las víctimas simulando procesos de verificación legítimos.
En este caso, se utilizan páginas falsas de Cloudflare Turnstile que piden a los usuarios completar un paso de validación. Al hacerlo, se activa un archivo LNK disfrazado de PDF que finalmente instala el ladrón de información MetaStealer.
La sofisticación de estos ataques radica en que requieren interacción del usuario, lo que les permite evadir múltiples soluciones de seguridad automatizadas.
La evolución de ClickFix con IA y CSS
Lo más preocupante es que ahora los atacantes han comenzado a integrar ClickFix con inteligencia artificial. Según CloudSEK, se están utilizando técnicas de ofuscación basadas en CSS para introducir instrucciones ocultas en resúmenes generados por IA.
Este método, denominado sobredosis rápida, inunda el contenido HTML con cargas útiles maliciosas para manipular el contexto de los modelos de lenguaje, logrando que la IA produzca resúmenes engañosos que instruyen a la víctima paso a paso en la ejecución de actividades maliciosas, incluso facilitando la instalación de ransomware.
Una amenaza en constante evolución
La aparición de MostereRAT confirma que los ciberdelincuentes continúan perfeccionando sus técnicas, combinando exploits avanzados, evasión de defensas y manipulación psicológica.
Este tipo de amenazas resalta la importancia de:
-
Mantener los sistemas y soluciones de seguridad siempre actualizados.
-
Implementar EDR avanzados capaces de detectar inyecciones de código y bloqueo de defensas.
-
Capacitar a empleados y usuarios finales para identificar correos electrónicos sospechosos.
El panorama de las amenazas bancarias y de acceso remoto está evolucionando rápidamente, y casos como MostereRAT y ClickFix demuestran que los atacantes no solo buscan vulnerabilidades técnicas, sino también las debilidades humanas.
Fuente: The Hacker News
