AveMariaRAT

Küberturvalisuse teadlastel on õnnestunud paljastada pahatahtlik rämpspostikampaania, mis edastab relvastatud failimanuseid. Operatsiooni peibutusmeilid esitati kasutajatele kui olulised teated hiljutise maksearuande kohta. Sõnumid üritasid endast kujutada, et need on saadetud usaldusväärsetest allikatest. Manustatud Exceli lisandmooduli (.xlam) fail sisaldab aga pahatahtlikke makrosid, mis käivituvad täitmisel. Ründajate eesmärk on toimetada ohvri seadmesse kolm failivaba RAT ( Remote Access Trojans ) ohtu – AveMariaRAT, PandorahVNC RAT ja BitRAT. Üksikasjad esialgse nakkusvektori ja edastatud ohtude kohta avaldati avalikkusele Fortineti turvaaruandes.

AveMariaRAT-oht on võimas pahavara, mis võimaldab ohus osalejatel luua rikutud seadme üle kontrolli ja teha mitmeid pealetükkivaid toiminguid. See on esimene kolmest tuvastatud RAT-ohust, mis langeb ohvri masinasse, süstides seda värskelt loodud protsessi nimega "aspnet_compiler.exe". Oht on varustatud mitme lüliti lipuga, mis võivad muuta, kas see lisab end automaatkäivitusrühma, proovib Windowsi UAC-st (kasutajakonto kontrollist) mööda minna või Windows Defenderist mööda hiilida.

AveMaria loob ühenduse Command-and-Control (C2, C&C) serveriga, kusjuures side nende kahe vahel on RC4 krüpteeritud. Kui RAT on süsteemis täielikult loodud, pakub see oma operaatoritele palju võimalusi. Ohutegurid saavad aktiveerida kaugshelli, kaug-VNC-d (Virtual Network Computing), manipuleerida failisüsteemiga, juhtida veebikaamerat, aktiveerida kaugklahvilogimise rutiini, laiendada oma privileege seadmes ja palju muud.

AveMariaRATi paroolihalduri funktsioon võib proovida varastada konto mandaate paljudest sihitud rakendustest, sealhulgas populaarsetest veebibrauseritest, nagu Chrome, Edge, Epic Privacy brauser, Tencent QQBrowser, Opera, Brave, Vivaldi ja palju muud. Lisaks võib see mõjutada mitmesuguseid meilikliente, sealhulgas MS Outlook, Microsoft Messaging, Tencent Foxmail jne.

Trendikas

Enim vaadatud

Laadimine...