AveMariaRAT
Ερευνητές στον τομέα της κυβερνοασφάλειας κατάφεραν να αποκαλύψουν μια κακόβουλη καμπάνια ανεπιθύμητης αλληλογραφίας που παρείχε οπλισμένα συνημμένα αρχεία. Τα email δέλεαρ της επιχείρησης παρουσιάστηκαν στους χρήστες ως σημαντικές ειδοποιήσεις σχετικά με μια πρόσφατη αναφορά πληρωμής. Τα μηνύματα προσπάθησαν να περάσουν ως αποστέλλονται από αξιόπιστες πηγές. Το συνημμένο αρχείο πρόσθετου Excel (.xlam), ωστόσο, περιέχει κακόβουλες μακροεντολές που ενεργοποιούνται κατά την εκτέλεση. Ο στόχος των επιτιθέμενων είναι να παραδώσουν τρεις απειλές RAT χωρίς αρχεία ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT και BitRAT, στη συσκευή του θύματος. Λεπτομέρειες σχετικά με τον αρχικό φορέα μόλυνσης και τις απειλές που διαβιβάστηκαν αποκαλύφθηκαν στο κοινό σε μια αναφορά ασφαλείας από το Fortinet.
Η απειλή AveMariaRAT είναι ισχυρό κακόβουλο λογισμικό που επιτρέπει στους παράγοντες απειλών να ελέγχουν τη συσκευή που έχει παραβιαστεί και να εκτελούν πολυάριθμες παρεμβατικές ενέργειες. Είναι η πρώτη από τις τρεις αναγνωρισμένες απειλές RAT που απορρίπτονται στο μηχάνημα του θύματος με έγχυση σε μια πρόσφατα δημιουργημένη διαδικασία που ονομάζεται "aspnet_compiler.exe". Η απειλή είναι εξοπλισμένη με πολλές σημαίες διακόπτη που μπορούν να τροποποιήσουν εάν προστίθεται στην ομάδα αυτόματης εκτέλεσης, προσπαθεί να παρακάμψει το UAC (Έλεγχος λογαριασμού χρήστη) των Windows ή να παρακάμψει το Windows Defender.
Η AveMaria δημιουργεί μια σύνδεση με έναν διακομιστή Command-and-Control (C2, C&C) με την επικοινωνία μεταξύ των δύο να είναι κρυπτογραφημένη RC4. Μόλις εγκατασταθεί πλήρως στο σύστημα, το RAT παρέχει πολλές επιλογές στους χειριστές του. Οι φορείς απειλών μπορούν να ενεργοποιήσουν το απομακρυσμένο κέλυφος, το απομακρυσμένο VNC (Virtual Network Computing), να χειριστούν το σύστημα αρχείων, να ελέγξουν την κάμερα web, να ενεργοποιήσουν μια ρουτίνα απομακρυσμένου keylogger, να κλιμακώσουν τα προνόμιά τους στη συσκευή και πολλά άλλα.
Η λειτουργία Password Manager του AveMariaRAT μπορεί να προσπαθήσει να υποκλέψει διαπιστευτήρια λογαριασμού από ένα ευρύ φάσμα στοχευμένων εφαρμογών, συμπεριλαμβανομένων δημοφιλών προγραμμάτων περιήγησης ιστού όπως Chrome, Edge, πρόγραμμα περιήγησης Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi και άλλα. Επιπλέον, μπορεί να επηρεάσει διάφορα προγράμματα-πελάτες email, όπως το MS Outlook, το Microsoft Messaging, το Tencent Foxmail κ.λπ.
