摘要：FortiGuard 实验室研究人员发现一种名为 MostereRAT 的新型恶意软件威胁，该威胁正通过针对 Windows 设备的网络钓鱼活动进行传播。研究人员警告称该威胁的严重性级别为“高”。

MostereRAT 恶意软件通过网络钓鱼攻击 Windows，使用高级策略绕过安全防御，并授予黑客完全的远程控制权。

FortiGuard 实验室研究人员发现一种名为 MostereRAT 的新型恶意软件威胁，该威胁正通过针对 Windows 设备的网络钓鱼活动进行传播。研究人员警告称该威胁的严重性级别为“高”。

MostereRAT 是一种远程访问木马(RAT)，允许攻击者远程完全控制计算机，就像他们坐在计算机前面一样。

攻击始于令人信服的网络钓鱼电子邮件，这些邮件伪装成合法的商业咨询，旨在欺骗日本用户。

当受害者点击电子邮件中的恶意链接时，一个受感染的文件就会自动下载。

该文件随后会引导受害者打开一个嵌入的存档文件，其中包含恶意程序。

值得注意的是，该恶意软件使用了多种先进的方法来规避检测。其中一项关键技术是使用易语言编码。通过使用这种不太常见的编程语言，黑客的恶意操作更难被分析。

该恶意软件还会主动禁用安全工具和杀毒软件，例如阻止其网络流量，甚至关闭 Windows 安全功能。此外，该恶意软件使用一种名为相互 TLS (mTLS) 的高级方法来保护其与命令和控制 (C2) 服务器的通信，这使得其网络流量更难被检测和拦截。

一旦恶意软件运行，它就会部署各种远程访问工具，例如AnyDesk和TightVNC。这些都是人们用于远程工作的合法程序，但在这种情况下，攻击者使用它们来完全访问受害者的计算机。

这使得他们能够控制系统、收集数据，甚至安装更多恶意负载。该恶意软件还会创建一个具有管理员权限的隐藏用户帐户，确保即使受害者认为已经清除了威胁，它也能保持访问权限。

FortiGuard Labs在其博客文章中表示，该威胁已从 2020 年首次出现的银行木马演变为这种新的、更危险的形式。

Deepwatch 高级网络威胁情报分析师 Lauren Rucker表示： “鉴于最初的攻击媒介是钓鱼邮件，这些邮件会引导用户访问恶意链接和网站下载，因此浏览器安全是防御的关键环节。应强制执行浏览器安全策略，限制自动下载，并在用户从未知来源下载文件之前提示用户确认。”

技术报告：

来源：会杀毒的单反狗