AveMariaRAT

Cybersecurity-onderzoekers zijn erin geslaagd een kwaadaardige e-mailcampagne met spam aan het licht te brengen die bewapende bestandsbijlagen levert. De verlokkende e-mails van de operatie werden aan gebruikers gepresenteerd als belangrijke meldingen over een recent betalingsrapport. De berichten probeerden zichzelf door te geven als afkomstig van betrouwbare bronnen. Het bijgevoegde Excel Add-In (.xlam)-bestand bevat echter schadelijke macro's die bij uitvoering worden geactiveerd. Het doel van de aanvallers is om drie bestandsloze RAT-bedreigingen ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT en BitRAT - naar het apparaat van het slachtoffer te sturen. Details over de initiële infectievector en de geleverde bedreigingen werden aan het publiek onthuld in een beveiligingsrapport van Fortinet.

De AveMariaRAT-bedreiging is krachtige malware waarmee bedreigingsactoren controle kunnen krijgen over het geschonden apparaat en talloze intrusieve acties kunnen uitvoeren. Het is de eerste van de drie geïdentificeerde RAT-bedreigingen die op de computer van het slachtoffer worden geplaatst door te worden geïnjecteerd in een nieuw gemaakt proces met de naam 'aspnet_compiler.exe'. De dreiging is uitgerust met verschillende schakelvlaggen die kunnen wijzigen of het zichzelf toevoegt aan de auto-run-groep, probeert de UAC van Windows (User Account Control) te omzeilen of Windows Defender te omzeilen.

AveMaria brengt een verbinding tot stand met een Command-and-Control (C2, C&C) server waarbij de communicatie tussen de twee RC4 versleuteld is. Zodra het volledig op het systeem is ingevoerd, biedt de RAT tal van opties aan zijn operators. De bedreigingsactoren kunnen externe shell, externe VNC (Virtual Network Computing) activeren, het bestandssysteem manipuleren, de webcam besturen, een keylogger-routine op afstand activeren, hun privileges op het apparaat escaleren en meer.

De Password Manager-functie van AveMariaRAT kan proberen accountgegevens te stelen van een breed scala aan gerichte apps, waaronder populaire webbrowsers zoals Chrome, Edge, Epic Privacy-browser, Tencent QQBrowser, Opera, Brave, Vivaldi en meer. Bovendien kan het van invloed zijn op verschillende e-mailclients, waaronder MS Outlook, Microsoft Messaging, Tencent Foxmail, enz.

Trending

Meest bekeken

Bezig met laden...