AveMariaRAT

Výzkumníkům v oblasti kybernetické bezpečnosti se podařilo odhalit zákeřnou spamovou e-mailovou kampaň, která doručovala přílohy se zbraněmi. E-maily s návnadou operace byly uživatelům prezentovány jako důležitá upozornění o nedávné zprávě o platbách. Zprávy se samy snažily vydávat za zprávy odeslané z renomovaných zdrojů. Přiložený soubor doplňku Excel (.xlam) však obsahuje škodlivá makra, která se spouštějí při spuštění. Cílem útočníků je doručit do zařízení oběti tři bezsouborové hrozby RAT ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT a BitRAT. Podrobnosti o původním vektoru infekce a doručených hrozbách byly veřejnosti odhaleny v bezpečnostní zprávě společnosti Fortinet.

Hrozba AveMariaRAT je silný malware, který umožňuje aktérům hrozby získat kontrolu nad narušeným zařízením a provádět četné rušivé akce. Je to první ze tří identifikovaných RAT hrozeb, které byly vypuštěny na počítač oběti tím, že byly vloženy do čerstvě vytvořeného procesu s názvem 'aspnet_compiler.exe.' Hrozba je vybavena několika příznaky přepínače, které mohou změnit, zda se přidá do skupiny automatického spouštění, pokusí se obejít UAC (řízení uživatelských účtů) Windows nebo obejít Windows Defender.

AveMaria naváže spojení se serverem Command-and-Control (C2, C&C), přičemž komunikace mezi nimi je šifrována RC4. Jakmile je RAT plně zaveden do systému, poskytuje svým operátorům četné možnosti. Aktéři hrozeb mohou aktivovat vzdálený shell, vzdálené VNC (Virtual Network Computing), manipulovat se systémem souborů, ovládat webovou kameru, aktivovat rutinu vzdáleného keyloggeru, eskalovat svá oprávnění na zařízení a další.

Funkce Správce hesel AveMariaRAT se může pokusit ukrást přihlašovací údaje k účtu z celé řady cílených aplikací, včetně oblíbených webových prohlížečů, jako je Chrome, Edge, prohlížeč Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi a další. Kromě toho může ovlivnit různé e-mailové klienty včetně MS Outlook, Microsoft Messaging, Tencent Foxmail atd.