AveMariaRAT

Penyelidik keselamatan siber telah berjaya mendedahkan kempen e-mel spam berniat jahat yang menghantar lampiran fail bersenjata. E-mel memikat operasi itu disampaikan kepada pengguna sebagai pemberitahuan penting tentang laporan pembayaran baru-baru ini. Mesej-mesej itu cuba untuk menyatakan diri mereka sebagai dihantar dari sumber yang bereputasi. Fail Excel Add-In (.xlam) yang dilampirkan, bagaimanapun, mengandungi makro berniat jahat yang dicetuskan semasa pelaksanaan. Matlamat penyerang adalah untuk menghantar tiga ancaman RAT ( Remote Access Trojans ) tanpa fail - AveMariaRAT, PandorahVNC RAT dan BitRAT, ke peranti mangsa. Butiran mengenai vektor jangkitan awal dan ancaman yang dihantar telah didedahkan kepada orang ramai dalam laporan keselamatan oleh Fortinet.

Ancaman AveMariaRAT ialah perisian hasad kuat yang membolehkan pelaku ancaman mewujudkan kawalan ke atas peranti yang dilanggar dan melakukan pelbagai tindakan mengganggu. Ia adalah yang pertama daripada tiga ancaman RAT yang dikenal pasti akan dijatuhkan pada mesin mangsa dengan disuntik ke dalam proses yang baru dicipta bernama 'aspnet_compiler.exe.' Ancaman ini dilengkapi dengan beberapa bendera suis yang boleh mengubah suai sama ada ia menambah sendiri kepada kumpulan auto-jalankan, cuba memintas UAC (Kawalan Akaun Pengguna) Windows atau memintas Windows Defender.

AveMaria mewujudkan sambungan dengan pelayan Command-and-Control (C2, C&C) dengan komunikasi antara kedua-duanya disulitkan RC4. Sebaik sahaja ia telah ditetapkan sepenuhnya pada sistem, RAT menyediakan banyak pilihan kepada pengendalinya. Aktor ancaman boleh mengaktifkan shell jauh, VNC jauh (Pengkomputeran Rangkaian Maya), memanipulasi sistem fail, mengawal kamera web, mengaktifkan rutin keylogger jauh, meningkatkan keistimewaan mereka pada peranti dan banyak lagi.

Ciri Pengurus Kata Laluan AveMariaRAT boleh cuba mencuri bukti kelayakan akaun daripada pelbagai apl yang disasarkan termasuk pelayar web popular seperti Chrome, Edge, pelayar Privasi Epik, Tencent QQBrowser, Opera, Brave, Vivaldi dan banyak lagi. Selain itu, ia boleh memberi kesan kepada pelbagai klien e-mel termasuk MS Outlook, Microsoft Messaging, Tencent Foxmail, dsb.