AveMariaRAT

محققان امنیت سایبری موفق به کشف یک کمپین ایمیل هرزنامه مخرب شده‌اند که فایل‌های ضمیمه شده را تحویل می‌دهد. ایمیل های فریبنده این عملیات به عنوان اعلان های مهم در مورد گزارش پرداخت اخیر به کاربران ارائه شد. این پیام ها سعی داشتند خود را به عنوان ارسال شده از منابع معتبر منتقل کنند. با این حال، فایل افزودنی اکسل (xlam.) حاوی ماکروهای مخربی است که پس از اجرا فعال می شوند. هدف مهاجمان ارائه سه تهدید RAT بدون فایل ( تروجان های دسترسی از راه دور ) - AveMariaRAT، PandorahVNC RAT و BitRAT، به دستگاه قربانی است. جزئیات مربوط به ناقل عفونت اولیه و تهدیدات ارسالی در گزارش امنیتی فورتی نت برای عموم فاش شد.

تهدید AveMariaRAT یک بدافزار قوی است که به عوامل تهدید اجازه می‌دهد تا کنترل بر روی دستگاه نقض شده را برقرار کنند و اقدامات مزاحم متعددی را انجام دهند. این اولین مورد از سه تهدید RAT شناسایی شده است که با تزریق به یک فرآیند تازه ایجاد شده به نام "aspnet_compiler.exe" روی دستگاه قربانی حذف می شود. این تهدید به چندین پرچم سوئیچ مجهز شده است که می تواند تغییر دهد که آیا خود را به گروه اجرای خودکار اضافه می کند، سعی می کند UAC (کنترل حساب کاربر) ویندوز را دور بزند یا از Windows Defender دور بزند.

AveMaria با یک سرور Command-and-Control (C2, C&C) ارتباط برقرار می کند و ارتباط بین این دو رمزگذاری شده RC4 است. هنگامی که RAT به طور کامل بر روی سیستم مستقر شد، گزینه های متعددی را در اختیار اپراتورهای خود قرار می دهد. عوامل تهدید می توانند پوسته از راه دور، VNC از راه دور (محاسبات شبکه مجازی) را فعال کنند، سیستم فایل را دستکاری کنند، وب کم را کنترل کنند، یک روال کی لاگر از راه دور را فعال کنند، امتیازات خود را در دستگاه افزایش دهند و موارد دیگر.

ویژگی مدیریت رمز عبور AveMariaRAT می‌تواند سعی کند اعتبار حساب را از طیف گسترده‌ای از برنامه‌های هدفمند از جمله مرورگرهای وب محبوب مانند Chrome، Edge، مرورگر Epic Privacy، Tencent QQBrowser، Opera، Brave، Vivaldi و غیره سرقت کند. علاوه بر این، می تواند بر کلاینت های ایمیل مختلف از جمله MS Outlook، Microsoft Messaging، Tencent Foxmail و غیره تأثیر بگذارد.

پرطرفدار

پربیننده ترین

بارگذاری...