AveMariaRAT
网络安全研究人员设法发现了一个恶意垃圾邮件活动,该活动提供武器化文件附件。该操作的诱饵电子邮件作为有关最近付款报告的重要通知呈现给用户。这些消息试图将自己伪装成是从信誉良好的来源发送的。但是,附加的 Excel 加载项 (.xlam) 文件包含在执行时触发的恶意宏。攻击者的目标是向受害者的设备发送三种无文件 RAT(远程访问木马)威胁 - AveMariaRAT、PandorahVNC RAT 和 BitRAT。 Fortinet 在一份安全报告中向公众披露了有关初始感染媒介和所传递威胁的详细信息。
AveMariaRAT 威胁是一种强大的恶意软件,它允许威胁参与者建立对被破坏设备的控制并执行许多侵入性操作。它是通过注入一个名为“aspnet_compiler.exe”的新创建的进程而被丢弃在受害者机器上的三个已识别 RAT 威胁中的第一个。该威胁配备了几个开关标志,可以修改是否将自身添加到自动运行组、尝试绕过 Windows 的 UAC(用户帐户控制)或绕过 Windows Defender。
AveMaria 与命令和控制(C2、C&C)服务器建立连接,两者之间的通信经过 RC4 加密。一旦在系统上完全建立起来,RAT 就会为其运营商提供多种选择。威胁参与者可以激活远程外壳、远程 VNC(虚拟网络计算)、操纵文件系统、控制网络摄像头、激活远程键盘记录程序、提升他们在设备上的权限等等。
AveMariaRAT 的密码管理器功能可以尝试从各种目标应用程序中窃取帐户凭据,包括流行的网络浏览器,例如 Chrome、Edge、Epic Privacy 浏览器、腾讯 QQBrowser、Opera、Brave、Vivaldi 等。此外,它还可以影响各种电子邮件客户端,包括 MS Outlook、Microsoft Messaging、腾讯 Foxmail 等。
