AveMariaRAT

Badaczom cyberbezpieczeństwa udało się odkryć złośliwą kampanię spamową e-mail zawierającą uzbrojone załączniki plików. E-maile z przynętą dotyczące operacji były prezentowane użytkownikom jako ważne powiadomienia o ostatnim raporcie płatności. Wiadomości próbowały uchodzić za wysyłane z renomowanych źródeł. Załączony plik dodatku Excel (.xlam) zawiera jednak złośliwe makra, które są wyzwalane po wykonaniu. Celem atakujących jest dostarczenie na urządzenie ofiary trzech zagrożeń bezplikowych RAT ( trojanów zdalnego dostępu ) — AveMariaRAT, PandorahVNC RAT i BitRAT. Szczegóły dotyczące początkowego wektora infekcji i dostarczonych zagrożeń zostały ujawnione opinii publicznej w raporcie bezpieczeństwa przygotowanym przez firmę Fortinet.

Zagrożenie AveMariaRAT jest potężnym złośliwym oprogramowaniem, które umożliwia cyberprzestępcom przejęcie kontroli nad złamanym urządzeniem i wykonywanie wielu inwazyjnych działań. Jest to pierwsze z trzech zidentyfikowanych zagrożeń RAT, które są umieszczane na komputerze ofiary poprzez wstrzyknięcie do świeżo utworzonego procesu o nazwie „aspnet_compiler.exe”. Zagrożenie jest wyposażone w kilka flag przełączników, które mogą modyfikować, czy dodaje się do grupy autouruchamiania, próbuje ominąć UAC (Kontrola konta użytkownika) systemu Windows lub ominąć program Windows Defender.

AveMaria nawiązuje połączenie z serwerem Command-and-Control (C2, C&C), a komunikacja między nimi jest szyfrowana RC4. Po pełnym ustanowieniu w systemie, RAT udostępnia swoim operatorom wiele opcji. Zagrożenia mogą aktywować zdalną powłokę, zdalne VNC (Virtual Network Computing), manipulować systemem plików, sterować kamerą internetową, aktywować zdalną procedurę keyloggera, zwiększać swoje uprawnienia na urządzeniu i nie tylko.

Funkcja Password Manager AveMariaRAT może próbować ukraść dane uwierzytelniające konta z szerokiej gamy atakowanych aplikacji, w tym popularnych przeglądarek internetowych, takich jak Chrome, Edge, Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi i innych. Ponadto może wpływać na różne klienty poczty e-mail, w tym MS Outlook, Microsoft Messaging, Tencent Foxmail itp.