AveMariaRAT

Исследователям кибербезопасности удалось раскрыть вредоносную спам-кампанию по электронной почте, доставляющую файловые вложения с оружием. Электронные письма-приманки операции были представлены пользователям как важные уведомления о недавнем отчете об оплате. Сообщения пытались выдать себя за отправленные из авторитетных источников. Однако прикрепленный файл надстройки Excel (.xlam) содержит вредоносные макросы, которые запускаются при выполнении. Цель злоумышленников — доставить на устройство жертвы три бесфайловые угрозы RAT ( трояны удаленного доступа ) — AveMariaRAT, PandorahVNC RAT и BitRAT. Подробности о первоначальном векторе заражения и доставленных угрозах были раскрыты общественности в отчете о безопасности Fortinet.

Угроза AveMariaRAT — это мощная вредоносная программа, которая позволяет злоумышленникам установить контроль над взломанным устройством и выполнять многочисленные вторжения. Это первая из трех обнаруженных RAT-угроз, которые перебрасываются на компьютер жертвы путем внедрения в только что созданный процесс с именем aspnet_compiler.exe. Угроза оснащена несколькими флагами-переключателями, которые могут изменять, добавляет ли она себя в группу автозапуска, пытается ли она обойти UAC (Контроль учетных записей пользователей) Windows или обойти Защитника Windows.

AveMaria устанавливает соединение с сервером Command-and-Control (C2, C&C), при этом связь между ними зашифрована по стандарту RC4. После полной установки в системе RAT предоставляет своим операторам многочисленные возможности. Злоумышленники могут активировать удаленную оболочку, удаленный VNC (виртуальные сетевые вычисления), манипулировать файловой системой, управлять веб-камерой, активировать программу удаленного кейлоггера, повышать свои привилегии на устройстве и многое другое.

Функция диспетчера паролей AveMariaRAT может попытаться украсть учетные данные из широкого спектра целевых приложений, включая популярные веб-браузеры, такие как Chrome, Edge, браузер Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi и другие. Кроме того, это может повлиять на различные почтовые клиенты, включая MS Outlook, Microsoft Messaging, Tencent Foxmail и т. д.