Source: https://thehackernews.com/2025/09/from-mostererat-to-clickfix-new-malware.html
🛡 概要
サイバーセキュリティ研究者は、銀行マルウェアがリモートアクセス型トロイの木馬に変貌したMostereRATを配信するフィッシングキャンペーンの詳細を明らかにしました。この攻撃は、侵害されたシステムを完全に制御し、機密データを吸い上げるために高度な回避技術を使用しています。特に、日本のユーザーをターゲットにしたビジネス関連の誘引を利用して、悪意のあるリンクをクリックさせる手法が特徴です。
🔍 技術詳細
MostereRATは、Easy Programming Language(EPL)を使用して開発されたペイロードを用い、セキュリティツールを無効化し、マルウェアの操作を隠蔽します。C2通信は相互TLS(mTLS)で保護され、追加のペイロードを展開するための多様な手法がサポートされています。最も注目すべきは、Windowsのセキュリティメカニズムを無効にし、特定のセキュリティプログラムに関連するネットワークトラフィックをブロックする能力です。この技術は、EDRSilencerという既知のレッドチームツールに類似しています。最終的には、ユーザーのホスト情報を収集し、スクリーンショットをキャプチャするなど、さまざまな活動を行います。
⚠ 影響
このフィッシング攻撃は、日本のビジネスユーザーを狙い、悪意のあるリンクを通じてシステムに侵入します。MostereRATは、重要なWindowsプロセスに干渉し、レジストリの変更やシステムファイルの削除を行うため、被害者のデータが危険にさらされる可能性があります。また、ClickFix技術を使用した新たな情報窃盗キャンペーンも登場しており、ユーザーが自発的に悪意のある操作を行うよう仕向けています。これにより、セキュリティ対策の回避が容易になり、リスクが高まっています。
🛠 対策
このような攻撃から身を守るためには、ユーザー教育が不可欠です。特に、ソーシャルエンジニアリングの危険性についての意識を高めることが重要です。また、セキュリティソリューションを常に最新の状態に保ち、疑わしいリンクや添付ファイルをクリックしないようにすることが推奨されます。加えて、EDRSilencerやMostereRATのような新たな脅威に対しても、十分な対策を講じることが必要です。
