AveMariaRAT

Cybersikkerhedsforskere har formået at afsløre en ondsindet spam-e-mail-kampagne, der leverer vedhæftede filer med våben. Lokkemails fra operationen blev præsenteret for brugerne som vigtige meddelelser om en nylig betalingsrapport. Beskederne forsøgte at forgive sig selv som værende sendt fra velrenommerede kilder. Den vedhæftede Excel-tilføjelsesfil (.xlam) indeholder dog ondsindede makroer, der udløses ved udførelse. Målet med angriberne er at levere tre filløse RAT-trusler ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT og BitRAT, til ofrets enhed. Detaljer om den oprindelige infektionsvektor og de leverede trusler blev afsløret for offentligheden i en sikkerhedsrapport fra Fortinet.

AveMariaRAT-truslen er potent malware, der gør det muligt for trusselsaktører at etablere kontrol over den brudte enhed og udføre adskillige påtrængende handlinger. Det er den første af de tre identificerede RAT-trusler, der bliver droppet på offerets maskine ved at blive injiceret i en nyoprettet proces ved navn 'aspnet_compiler.exe.' Truslen er udstyret med flere switch-flag, der kan ændre, om den føjer sig selv til autorun-gruppen, forsøger at omgå Windows' UAC (User Account Control) eller omgå Windows Defender.

AveMaria etablerer en forbindelse med en Command-and-Control-server (C2, C&C), hvor kommunikationen mellem de to er RC4-krypteret. Når først det er blevet fuldt etableret på systemet, giver RAT adskillige muligheder til sine operatører. Trusselsaktørerne kan aktivere remote shell, remote VNC (Virtual Network Computing), manipulere filsystemet, styre webkameraet, aktivere en remote keylogger-rutine, eskalere deres privilegier på enheden og mere.

AveMariaRATs Password Manager-funktion kan prøve at stjæle kontooplysninger fra en bred vifte af målrettede apps, herunder populære webbrowsere såsom Chrome, Edge, Epic Privacy browser, Tencent QQBrowser, Opera, Brave, Vivaldi og mere. Derudover kan det påvirke forskellige e-mail-klienter, herunder MS Outlook, Microsoft Messaging, Tencent Foxmail osv.