AveMariaRAT

A kiberbiztonsági kutatóknak sikerült feltárniuk egy rosszindulatú spam e-mail kampányt, amely fegyveres fájlmellékleteket szállít. A műveletről szóló csalogató e-maileket a legutóbbi fizetési jelentéssel kapcsolatos fontos értesítésekként mutatták be a felhasználóknak. Az üzenetek megpróbálták úgy kiadni magukat, mintha jó hírű forrásból érkeztek volna. A csatolt Excel-bővítmény (.xlam) fájl azonban rosszindulatú makrókat tartalmaz, amelyek végrehajtása során aktiválódnak. A támadók célja három fájl nélküli RAT ( Remote Access Trojans ) fenyegetés – AveMariaRAT, PandorahVNC RAT és BitRAT – eljuttatása az áldozat eszközére. A kezdeti fertőzési vektorról és a szállított fenyegetésekről a Fortinet biztonsági jelentésében tártak fel részleteket.

Az AveMariaRAT fenyegetés egy erős rosszindulatú program, amely lehetővé teszi a fenyegetés szereplői számára, hogy felvegyék az irányítást a feltört eszköz felett, és számos tolakodó műveletet hajtsanak végre. Ez az első a három azonosított RAT-fenyegetés közül, amely az áldozat gépére került azáltal, hogy egy frissen létrehozott „aspnet_compiler.exe” nevű folyamatba injektálják. A fenyegetés számos kapcsolójelzővel van felszerelve, amelyek módosíthatják, hogy hozzáadja magát az automatikus futtatási csoporthoz, megkísérli-e megkerülni a Windows UAC-ját (User Account Control), vagy megkerüli-e a Windows Defendert.

Az AveMaria kapcsolatot létesít egy Command-and-Control (C2, C&C) szerverrel, a kettő közötti kommunikáció RC4 titkosítással történik. Miután teljesen beépült a rendszerbe, a RAT számos lehetőséget kínál kezelőinek. A fenyegetés szereplői aktiválhatják a távoli héjat, a távoli VNC-t (Virtual Network Computing), manipulálhatják a fájlrendszert, vezérelhetik a webkamerát, aktiválhatnak egy távoli billentyűnaplózó rutint, kiterjeszthetik jogosultságaikat az eszközön, és így tovább.

Az AveMariaRAT Jelszókezelő funkciója megkísérelheti ellopni a fiók hitelesítő adatait számos célzott alkalmazásból, beleértve a népszerű webböngészőket, mint például a Chrome, Edge, Epic Privacy böngésző, Tencent QQBrowser, Opera, Brave, Vivaldi stb. Ezenkívül hatással lehet különféle e-mail kliensekre, köztük az MS Outlookra, a Microsoft Messagingre, a Tencent Foxmailre stb.