AveMariaRAT

Pesquisadores de segurança cibernética conseguiram descobrir uma campanha de e-mail de spam malicioso que entrega anexos de arquivos armados. Os e-mails de atração da operação foram apresentados aos usuários como notificações importantes sobre um relatório de pagamento recente. As mensagens tentaram passar-se como sendo enviadas de fontes respeitáveis. O arquivo de suplemento do Excel (.xlam) anexado, no entanto, contém macros maliciosas que são acionadas durante a execução. O objetivo dos invasores é entregar três ameaças RAT ( Remote Access Trojans ) sem arquivo - AveMariaRAT, PandorahVNC RAT e BitRAT, para o dispositivo da vítima. Detalhes sobre o vetor de infecção inicial e as ameaças entregues foram revelados ao público em um relatório de segurança da Fortinet.

A ameaça AveMariaRAT é um malware potente que permite que os agentes de ameaças estabeleçam controle sobre o dispositivo violado e executem várias ações intrusivas. É a primeira das três ameaças RAT identificadas a ser lançada na máquina da vítima ao ser injetada em um processo recém-criado chamado 'aspnet_compiler.exe'. A ameaça está equipada com vários sinalizadores de opção que podem modificar se ela se adiciona ao grupo de execução automática, tenta contornar o UAC (Controle de Conta de Usuário) do Windows ou burlar o Windows Defender.

AveMaria estabelece uma conexão com um servidor de Comando e Controle (C2, C&C) com a comunicação entre os dois sendo criptografada RC4. Uma vez totalmente estabelecido no sistema, o RAT oferece inúmeras opções aos seus operadores. Os agentes de ameaças podem ativar o shell remoto, o VNC remoto (Virtual Network Computing), manipular o sistema de arquivos, controlar a webcam, ativar uma rotina de keylogger remoto, aumentar seus privilégios no dispositivo e muito mais.

O recurso Gerenciador de Senhas do AveMariaRAT pode tentar roubar credenciais de conta de uma ampla variedade de aplicativos direcionados, incluindo navegadores populares como Chrome, Edge, navegador Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi e muito mais. Além disso, pode afetar vários clientes de e-mail, incluindo MS Outlook, Microsoft Messaging, Tencent Foxmail, etc.