AveMariaRAT

I ricercatori della sicurezza informatica sono riusciti a scoprire una campagna di e-mail di spam dannosa che fornisce allegati di file armati. Le e-mail di richiamo dell'operazione sono state presentate agli utenti come notifiche importanti su un recente rapporto di pagamento. I messaggi hanno cercato di passare come inviati da fonti affidabili. Il file allegato del componente aggiuntivo di Excel (.xlam), tuttavia, contiene macro dannose che vengono attivate al momento dell'esecuzione. L'obiettivo degli aggressori è fornire tre minacce RAT ( Remote Access Trojan ) fileless: AveMariaRAT, PandorahVNC RAT e BitRAT, al dispositivo della vittima. I dettagli sul vettore di infezione iniziale e sulle minacce consegnate sono stati rivelati al pubblico in un rapporto sulla sicurezza di Fortinet.

La minaccia AveMariaRAT è un potente malware che consente agli attori delle minacce di stabilire il controllo sul dispositivo violato ed eseguire numerose azioni intrusive. È la prima delle tre minacce RAT identificate che viene rilasciata sul computer della vittima iniettata in un processo appena creato chiamato "aspnet_compiler.exe". La minaccia è dotata di diversi flag switch che possono modificare se si aggiunge al gruppo di esecuzione automatica, tenta di bypassare l'UAC (controllo dell'account utente) di Windows o aggira Windows Defender.

AveMaria stabilisce una connessione con un server Command-and-Control (C2, C&C) con la comunicazione tra i due crittografata RC4. Una volta che è stato completamente stabilito sul sistema, il RAT offre numerose opzioni ai suoi operatori. Gli attori delle minacce possono attivare shell remota, VNC (Virtual Network Computing) remoto, manipolare il file system, controllare la webcam, attivare una routine di keylogger remota, aumentare i propri privilegi sul dispositivo e altro ancora.

La funzione Password Manager di AveMariaRAT può provare a rubare le credenziali dell'account da un'ampia gamma di app mirate, inclusi i browser Web più diffusi come Chrome, Edge, browser Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi e altri. Inoltre, può influire su vari client di posta elettronica tra cui MS Outlook, Microsoft Messaging, Tencent Foxmail, ecc.