AveMariaRAT

تمكن باحثو الأمن السيبراني من الكشف عن حملة بريد إلكتروني غير مرغوب فيها ضارة توفر مرفقات ملفات مُسلَّحة. تم تقديم رسائل البريد الإلكتروني المغرية للعملية للمستخدمين كإخطارات مهمة حول تقرير الدفع الأخير. حاولت الرسائل نقل نفسها على أنها مرسلة من مصادر حسنة السمعة. ومع ذلك ، يحتوي ملف Excel Add-In (.xlam) المرفق على وحدات ماكرو ضارة يتم تشغيلها عند التنفيذ. هدف المهاجمين هو إرسال ثلاثة تهديدات RAT ( الوصول عن بعد إلى أحصنة طروادة ) - AveMariaRAT و PandorahVNC RAT و BitRAT إلى جهاز الضحية. تم الكشف عن تفاصيل حول ناقل العدوى الأولي والتهديدات التي تم تسليمها للجمهور في تقرير أمني من Fortinet.

تهديد AveMariaRAT هو برنامج ضار قوي يسمح للجهات الفاعلة بالتهديد بفرض سيطرتها على الجهاز المخترق وتنفيذ العديد من الإجراءات التدخلية. وهي أول تهديدات RAT الثلاثة التي تم تحديدها والتي يتم إسقاطها على جهاز الضحية عن طريق حقنها في عملية تم إنشاؤها حديثًا باسم "aspnet_compiler.exe". التهديد مزود بالعديد من علامات التبديل التي يمكنها تعديل ما إذا كانت تضيف نفسها إلى مجموعة التشغيل التلقائي ، أو تحاول تجاوز UAC (التحكم في حساب المستخدم) في Windows ، أو التحايل على Windows Defender.

تقوم AveMaria بإنشاء اتصال بخادم الأوامر والتحكم (C2، C&C) مع تشفير الاتصال بين الجهازين RC4. بمجرد أن يتم تثبيته بالكامل على النظام ، يوفر RAT العديد من الخيارات لمشغليه. يمكن لممثلي التهديد تنشيط shell عن بُعد ، و VNC (حوسبة الشبكة الافتراضية) عن بُعد ، ومعالجة نظام الملفات ، والتحكم في كاميرا الويب ، وتنشيط روتين keylogger عن بُعد ، وتصعيد امتيازاتهم على الجهاز ، والمزيد.

يمكن أن تحاول ميزة مدير كلمات المرور في AveMariaRAT سرقة بيانات اعتماد الحساب من مجموعة واسعة من التطبيقات المستهدفة بما في ذلك متصفحات الويب الشائعة مثل Chrome و Edge و Epic Privacy Browser و Tencent QQBrowser و Opera و Brave و Vivaldi والمزيد. بالإضافة إلى ذلك ، يمكن أن يؤثر على العديد من عملاء البريد الإلكتروني بما في ذلك MS Outlook و Microsoft Messaging و Tencent Foxmail وما إلى ذلك.