AveMariaRAT

До Mezo през Remote Administration Tools, Phishingг

Превод на:

Изследователите по киберсигурност успяха да разкрият злонамерена спам имейл кампания, доставяща оръжейни прикачени файлове. Примамливите имейли от операцията бяха представени на потребителите като важни известия за скорошен отчет за плащане. Съобщенията се опитаха да се представят като изпратени от реномирани източници. Прикаченият файл с добавка на Excel (.xlam) обаче съдържа злонамерени макроси, които се задействат при изпълнение. Целта на нападателите е да доставят три безфайлови RAT ( троянски коне за отдалечен достъп ) заплахи - AveMariaRAT, PandorahVNC RAT и BitRAT до устройството на жертвата. Подробности за първоначалния вектор на инфекция и доставените заплахи бяха разкрити на обществеността в доклад за сигурността на Fortinet.

Заплахата AveMariaRAT е мощен зловреден софтуер, който позволява на участниците в заплахата да установят контрол върху нарушеното устройство и да извършват множество натрапчиви действия. Това е първата от трите идентифицирани RAT заплахи, които се пускат на машината на жертвата чрез инжектиране в новосъздадения процес, наречен 'aspnet_compiler.exe.' Заплахата е оборудвана с няколко флага за превключване, които могат да променят дали се добавя към групата за автоматично стартиране, се опитва да заобиколи UAC (контрол на потребителски акаунт) на Windows или да заобиколи Windows Defender.

AveMaria установява връзка със сървър за командване и управление (C2, C&C), като комуникацията между двамата е RC4 криптирана. След като бъде напълно установен в системата, RAT предоставя множество опции на своите оператори. Заплахите могат да активират отдалечена обвивка, отдалечен VNC (виртуални мрежови изчисления), да манипулират файловата система, да контролират уеб камерата, да активират рутинна програма за отдалечен кейлогер, да ескалират своите привилегии на устройството и др.

Функцията Password Manager на AveMariaRAT може да се опита да открадне идентификационни данни за акаунт от широк спектър от целеви приложения, включително популярни уеб браузъри като Chrome, Edge, браузър Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi и др. Освен това може да повлияе на различни имейл клиенти, включително MS Outlook, Microsoft Messaging, Tencent Foxmail и др.