AveMariaRAT
محققان امنیت سایبری موفق به کشف یک کمپین ایمیل هرزنامه مخرب شدهاند که فایلهای ضمیمه شده را تحویل میدهد. ایمیل های فریبنده این عملیات به عنوان اعلان های مهم در مورد گزارش پرداخت اخیر به کاربران ارائه شد. این پیام ها سعی داشتند خود را به عنوان ارسال شده از منابع معتبر منتقل کنند. با این حال، فایل افزودنی اکسل (xlam.) حاوی ماکروهای مخربی است که پس از اجرا فعال می شوند. هدف مهاجمان ارائه سه تهدید RAT بدون فایل ( تروجان های دسترسی از راه دور ) - AveMariaRAT، PandorahVNC RAT و BitRAT، به دستگاه قربانی است. جزئیات مربوط به ناقل عفونت اولیه و تهدیدات ارسالی در گزارش امنیتی فورتی نت برای عموم فاش شد.
تهدید AveMariaRAT یک بدافزار قوی است که به عوامل تهدید اجازه میدهد تا کنترل بر روی دستگاه نقض شده را برقرار کنند و اقدامات مزاحم متعددی را انجام دهند. این اولین مورد از سه تهدید RAT شناسایی شده است که با تزریق به یک فرآیند تازه ایجاد شده به نام "aspnet_compiler.exe" روی دستگاه قربانی حذف می شود. این تهدید به چندین پرچم سوئیچ مجهز شده است که می تواند تغییر دهد که آیا خود را به گروه اجرای خودکار اضافه می کند، سعی می کند UAC (کنترل حساب کاربر) ویندوز را دور بزند یا از Windows Defender دور بزند.
AveMaria با یک سرور Command-and-Control (C2, C&C) ارتباط برقرار می کند و ارتباط بین این دو رمزگذاری شده RC4 است. هنگامی که RAT به طور کامل بر روی سیستم مستقر شد، گزینه های متعددی را در اختیار اپراتورهای خود قرار می دهد. عوامل تهدید می توانند پوسته از راه دور، VNC از راه دور (محاسبات شبکه مجازی) را فعال کنند، سیستم فایل را دستکاری کنند، وب کم را کنترل کنند، یک روال کی لاگر از راه دور را فعال کنند، امتیازات خود را در دستگاه افزایش دهند و موارد دیگر.
ویژگی مدیریت رمز عبور AveMariaRAT میتواند سعی کند اعتبار حساب را از طیف گستردهای از برنامههای هدفمند از جمله مرورگرهای وب محبوب مانند Chrome، Edge، مرورگر Epic Privacy، Tencent QQBrowser، Opera، Brave، Vivaldi و غیره سرقت کند. علاوه بر این، می تواند بر کلاینت های ایمیل مختلف از جمله MS Outlook، Microsoft Messaging، Tencent Foxmail و غیره تأثیر بگذارد.