AveMariaRAT

חוקרי אבטחת סייבר הצליחו לחשוף קמפיין דואר זדוני דואר זדוני המספק קבצים מצורפים בנשק. אימייל הפיתוי של הפעולה הוצגו למשתמשים כהתראות חשובות על דוח תשלום אחרון. ההודעות ניסו להעביר את עצמן כאילו נשלחו ממקורות מוכרים. עם זאת, קובץ ה-Excel Add-In (.xlam) המצורף מכיל פקודות מאקרו זדוניות המופעלות בעת ביצוע. מטרת התוקפים היא להעביר שלושה איומי RAT ללא קבצים ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT ו-BitRAT, למכשיר של הקורבן. פרטים על וקטור ההדבקה הראשוני והאיומים שנמסרו נחשפו לציבור בדו"ח אבטחה של פורטינט.

איום AveMariaRAT הוא תוכנה זדונית חזקה המאפשרת לשחקני איומים לבסס שליטה על המכשיר הפרוץ ולבצע פעולות פולשניות רבות. זהו הראשון מבין שלושת איומי RAT שזוהו שהוטלו על המחשב של הקורבן על ידי הזרקה לתהליך חדש שנוצר בשם 'aspnet_compiler.exe'. האיום מצויד במספר דגלי מתג שיכולים לשנות אם הוא מוסיף את עצמו לקבוצת ההפעלה האוטומטית, מנסה לעקוף את UAC של Windows (בקרת חשבון משתמש), או לעקוף את Windows Defender.

AveMaria יוצר חיבור עם שרת Command-and-Control (C2, C&C) כשהתקשורת בין השניים מוצפנת RC4. ברגע שהוא הוקם במלואו על המערכת, ה-RAT מספק אפשרויות רבות למפעיליו. גורמי האיום יכולים להפעיל מעטפת מרחוק, VNC מרחוק (מחשוב רשת וירטואלי), לתפעל את מערכת הקבצים, לשלוט במצלמת האינטרנט, להפעיל שגרת keylogger מרחוק, להסלים את ההרשאות שלהם במכשיר ועוד.

תכונת Password Manager של AveMariaRAT יכולה לנסות לגנוב אישורי חשבון ממגוון רחב של אפליקציות ממוקדות כולל דפדפני אינטרנט פופולריים כגון Chrome, Edge, Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi ועוד. בנוסף, זה יכול להשפיע על לקוחות דוא"ל שונים כולל MS Outlook, Microsoft Messaging, Tencent Foxmail וכו'.