AveMariaRAT

Kiberdrošības pētniekiem ir izdevies atklāt ļaunprātīgu surogātpasta e-pasta kampaņu, kas nodrošina ieroču failu pielikumus. Operācijas vilinājuma e-pasta ziņojumi lietotājiem tika prezentēti kā svarīgi paziņojumi par neseno maksājumu pārskatu. Ziņojumi mēģināja izpausties kā sūtīti no cienījamiem avotiem. Tomēr pievienotajā Excel pievienojumprogrammas (.xlam) failā ir ietverti ļaunprātīgi makro, kas tiek aktivizēti pēc izpildes. Uzbrucēju mērķis ir upura ierīcē piegādāt trīs bezfailu RAT ( attālās piekļuves Trojans ) draudus - AveMariaRAT, PandorahVNC RAT un BitRAT. Sīkāka informācija par sākotnējo infekcijas pārnēsātāju un sniegtajiem draudiem tika atklāta sabiedrībai Fortinet drošības ziņojumā.

AveMariaRAT draudi ir spēcīga ļaunprātīga programmatūra, kas ļauj apdraudējuma dalībniekiem izveidot kontroli pār bojāto ierīci un veikt daudzas uzmācīgas darbības. Tas ir pirmais no trim identificētajiem RAT draudiem, kas tiek izmests upura datorā, ievadot to svaigi izveidotā procesā ar nosaukumu "aspnet_compiler.exe". Draudi ir aprīkoti ar vairākiem slēdžu karodziņiem, kas var mainīt, vai tas tiek pievienots automātiskās palaišanas grupai, mēģina apiet Windows UAC (lietotāja konta kontroli) vai apiet Windows Defender.

AveMaria izveido savienojumu ar Command-and-Control (C2, C&C) serveri, saziņai starp abiem ir RC4 šifrēta. Kad RAT ir pilnībā izveidots sistēmā, tā operatoriem piedāvā daudzas iespējas. Draudi dalībnieki var aktivizēt attālo apvalku, attālo VNC (virtuālā tīkla skaitļošanu), manipulēt ar failu sistēmu, vadīt tīmekļa kameru, aktivizēt attālo taustiņu bloķētāja rutīnu, palielināt savas privilēģijas ierīcē un daudz ko citu.

AveMariaRAT paroļu pārvaldnieka funkcija var mēģināt nozagt konta akreditācijas datus no plaša mērķprogrammu klāsta, tostarp tādām populārām tīmekļa pārlūkprogrammām kā Chrome, Edge, Epic Privacy pārlūks, Tencent QQBrowser, Opera, Brave, Vivaldi un citām. Turklāt tas var ietekmēt dažādus e-pasta klientus, tostarp MS Outlook, Microsoft Messaging, Tencent Foxmail utt.