AveMariaRAT
Kibernetinio saugumo tyrėjams pavyko atskleisti kenkėjišką el. pašto kampaniją, kuri pristato ginkluotus failų priedus. Suvilioti operacijos el. laiškai vartotojams buvo pateikti kaip svarbūs pranešimai apie naujausią mokėjimo ataskaitą. Žinutės bandė suprasti, kad jos buvo išsiųstos iš patikimų šaltinių. Tačiau pridedamame „Excel“ priedo (.xlam) faile yra kenkėjiškų makrokomandų, kurios suaktyvinamos vykdant. Užpuolikų tikslas – į aukos įrenginį pristatyti tris be failų RAT ( nuotolinės prieigos trojanų ) grėsmes – AveMariaRAT, PandorahVNC RAT ir BitRAT. Išsami informacija apie pradinį infekcijos vektorių ir perduotas grėsmes buvo atskleista visuomenei „Fortinet“ saugumo ataskaitoje.
„AveMariaRAT“ grėsmė yra stipri kenkėjiška programa, leidžianti grėsmės subjektams kontroliuoti pažeistą įrenginį ir atlikti daugybę įsibrovėlių. Tai pirmasis iš trijų nustatytų RAT grėsmių, kurios buvo pašalintos aukos kompiuteryje, įtraukiant į naujai sukurtą procesą, pavadintą „aspnet_compiler.exe“. Grėsmė aprūpinta keliomis jungiklių vėliavėlėmis, kurios gali pakeisti, ar ji įtraukiama į automatinio paleidimo grupę, bando apeiti „Windows“ UAC (vartotojo abonemento valdymą), ar apeiti „Windows Defender“.
„AveMaria“ užmezga ryšį su „Command-and-Control“ (C2, C&C) serveriu, o ryšys tarp jų yra užšifruotas RC4. Kai jis bus visiškai įdiegtas sistemoje, RAT operatoriams suteikia daugybę galimybių. Grėsmės veikėjai gali suaktyvinti nuotolinį apvalkalą, nuotolinį VNC (Virtual Network Computing), manipuliuoti failų sistema, valdyti žiniatinklio kamerą, suaktyvinti nuotolinio klavišų registravimo tvarką, išplėsti savo privilegijas įrenginyje ir dar daugiau.
„AveMariaRAT“ slaptažodžių tvarkyklės funkcija gali bandyti pavogti paskyros kredencialus iš daugybės tikslinių programų, įskaitant populiarias žiniatinklio naršykles, tokias kaip „Chrome“, „Edge“, „Epic Privacy“ naršyklė, „Tencent QQBrowser“, „Opera“, „Brave“, „Vivaldi“ ir kt. Be to, tai gali turėti įtakos įvairioms el. pašto programoms, įskaitant MS Outlook, Microsoft Messaging, Tencent Foxmail ir kt.
