AveMariaRAT

Cercetătorii în domeniul securității cibernetice au reușit să descopere o campanie rău intenționată de e-mail de spam care livrează atașamente de fișiere cu arme. E-mailurile de atracție ale operațiunii au fost prezentate utilizatorilor ca notificări importante despre un raport de plată recent. Mesajele au încercat să se prevadă ca fiind trimise din surse de renume. Fișierul atașat Excel Add-In (.xlam) conține totuși macrocomenzi rău intenționate care sunt declanșate la execuție. Scopul atacatorilor este să livreze trei amenințări RAT ( Remote Access Troians) fără fișiere - AveMariaRAT, PandorahVNC RAT și BitRAT, pe dispozitivul victimei. Detalii despre vectorul inițial de infecție și amenințările livrate au fost dezvăluite publicului într-un raport de securitate al Fortinet.

Amenințarea AveMariaRAT este un malware puternic care permite actorilor amenințărilor să stabilească controlul asupra dispozitivului încălcat și să efectueze numeroase acțiuni intruzive. Este prima dintre cele trei amenințări RAT identificate care este aruncată pe computerul victimei prin injectare într-un proces proaspăt creat, numit „aspnet_compiler.exe”. Amenințarea este echipată cu mai multe semnalizatoare de comutare care pot modifica dacă se adaugă la grupul de rulare automată, dacă încearcă să ocolească UAC-ul Windows (Control cont de utilizator) sau să ocolească Windows Defender.

AveMaria stabilește o conexiune cu un server Command-and-Control (C2, C&C), comunicarea dintre cei doi fiind criptată RC4. Odată ce a fost complet stabilit în sistem, RAT oferă numeroase opțiuni operatorilor săi. Actorii amenințărilor pot activa shell-ul de la distanță, VNC la distanță (Virtual Network Computing), manipula sistemul de fișiere, controla camera web, activa o rutină de keylogger de la distanță, își pot escalada privilegiile pe dispozitiv și multe altele.

Caracteristica AveMariaRAT Password Manager poate încerca să fure acreditările contului dintr-o gamă largă de aplicații vizate, inclusiv browsere web populare, cum ar fi Chrome, Edge, browser Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi și multe altele. În plus, poate afecta diferiți clienți de e-mail, inclusiv MS Outlook, Microsoft Messaging, Tencent Foxmail etc.