AveMariaRAT

Nettsikkerhetsforskere har klart å avdekke en ondsinnet spam-e-postkampanje som leverer våpenbeskyttede filvedlegg. Lokke-e-postene fra operasjonen ble presentert for brukere som viktige varsler om en nylig betalingsrapport. Meldingene forsøkte å utgi seg for å være sendt fra anerkjente kilder. Den vedlagte Excel-tilleggsfilen (.xlam) inneholder imidlertid skadelige makroer som utløses ved kjøring. Målet til angriperne er å levere tre filløse RAT-trusler ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT og BitRAT, til offerets enhet. Detaljer om den første infeksjonsvektoren og de leverte truslene ble avslørt for offentligheten i en sikkerhetsrapport fra Fortinet.

AveMariaRAT-trusselen er potent skadelig programvare som lar trusselaktører etablere kontroll over den brutte enheten og utføre en rekke påtrengende handlinger. Det er den første av de tre identifiserte RAT-truslene som slippes på offerets maskin ved å bli injisert i en nyopprettet prosess kalt 'aspnet_compiler.exe.' Trusselen er utstyrt med flere bryterflagg som kan endre om den legger seg selv til autorun-gruppen, prøver å omgå Windows UAC (User Account Control), eller omgå Windows Defender.

AveMaria etablerer en forbindelse med en Command-and-Control-server (C2, C&C) med kommunikasjonen mellom de to RC4-kryptert. Når den er fullstendig etablert på systemet, gir RAT en rekke alternativer til sine operatører. Trusselaktørene kan aktivere eksternt skall, ekstern VNC (Virtual Network Computing), manipulere filsystemet, kontrollere webkameraet, aktivere en ekstern keylogger-rutine, eskalere privilegiene sine på enheten og mer.

AveMariaRATs Password Manager-funksjon kan prøve å stjele kontolegitimasjon fra et bredt spekter av målrettede apper, inkludert populære nettlesere som Chrome, Edge, Epic Privacy-nettleser, Tencent QQBrowser, Opera, Brave, Vivaldi og mer. I tillegg kan det påvirke ulike e-postklienter, inkludert MS Outlook, Microsoft Messaging, Tencent Foxmail, etc.