AveMariaRAT
Kyberturvallisuustutkijat ovat onnistuneet paljastamaan haitallisen roskapostikampanjan, joka toimittaa aseistautuneita tiedostoliitteitä. Operaation houkutussähköpostit esiteltiin käyttäjille tärkeinä ilmoituksina tuoreesta maksuraportista. Viestit yrittivät kuvitella olevansa lähetettyjä hyvämaineisista lähteistä. Liitteenä oleva Excel-apuohjelmatiedosto (.xlam) sisältää kuitenkin haitallisia makroja, jotka käynnistyvät suorituksen yhteydessä. Hyökkääjien tavoitteena on toimittaa uhrin laitteelle kolme tiedostotonta RAT ( Remote Access Trojans ) -uhkaa - AveMariaRAT, PandorahVNC RAT ja BitRAT. Yksityiskohdat alkuperäisestä tartuntavektorista ja toimitetuista uhista paljastettiin yleisölle Fortinetin tietoturvaraportissa.
AveMariaRAT-uhka on voimakas haittaohjelma, jonka avulla uhkatekijät voivat hallita rikottua laitetta ja suorittaa lukuisia tunkeilevia toimia. Se on ensimmäinen kolmesta tunnistetusta RAT-uhkasta, joka pudotetaan uhrin koneelle injektoimalla juuri luotuun prosessiin nimeltä "aspnet_compiler.exe". Uhka on varustettu useilla kytkimen lipuilla, jotka voivat muuttaa, lisääkö se itsensä automaattisen käynnistyksen ryhmään, yrittääkö se ohittaa Windowsin UAC:n (User Account Control) vai kiertääkö se Windows Defenderin.
AveMaria muodostaa yhteyden Command-and-Control (C2, C&C) palvelimeen, joiden välinen viestintä on RC4-salattu. Kun RAT on täysin vakiintunut järjestelmään, se tarjoaa operaattoreilleen useita vaihtoehtoja. Uhkatoimijat voivat aktivoida etäkuoren, etä-VNC:n (Virtual Network Computing), manipuloida tiedostojärjestelmää, ohjata verkkokameraa, aktivoida etänäppäinlogger-rutiinia, laajentaa oikeuksiaan laitteella ja paljon muuta.
AveMariaRAT:n Password Manager -ominaisuus voi yrittää varastaa tilin kirjautumistiedot useista kohdistetuista sovelluksista, mukaan lukien suositut verkkoselaimet, kuten Chrome, Edge, Epic Privacy -selain, Tencent QQBrowser, Opera, Brave, Vivaldi ja muut. Lisäksi se voi vaikuttaa erilaisiin sähköpostiohjelmiin, mukaan lukien MS Outlook, Microsoft Messaging, Tencent Foxmail jne.
