AveMariaRAT
Výskumníkom v oblasti kybernetickej bezpečnosti sa podarilo odhaliť škodlivú spamovú e-mailovú kampaň, ktorá doručovala prílohy so zbraňami. E-maily s návnadou operácie boli používateľom prezentované ako dôležité upozornenia o nedávnej správe o platbách. Správy sa pokúšali vydávať ako správy odoslané z renomovaných zdrojov. Priložený súbor doplnku Excel (.xlam) však obsahuje škodlivé makrá, ktoré sa spúšťajú pri spustení. Cieľom útočníkov je doručiť do zariadenia obete tri bezsúborové hrozby RAT ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT a BitRAT. Podrobnosti o pôvodnom vektore infekcie a doručených hrozbách odhalila verejnosť v bezpečnostnej správe spoločnosti Fortinet.
Hrozba AveMariaRAT je silný malvér, ktorý umožňuje aktérom hrozby získať kontrolu nad narušeným zariadením a vykonávať množstvo rušivých akcií. Je to prvá z troch identifikovaných hrozieb RAT, ktorá bola vypustená na počítač obete tým, že bola vložená do čerstvo vytvoreného procesu s názvom 'aspnet_compiler.exe.' Hrozba je vybavená niekoľkými príznakmi prepínania, ktoré môžu zmeniť, či sa pridá do skupiny automatického spustenia, pokúsi sa obísť UAC (Kontrola používateľských účtov) systému Windows alebo obísť program Windows Defender.
AveMaria nadviaže spojenie so serverom Command-and-Control (C2, C&C), pričom komunikácia medzi nimi je šifrovaná RC4. Po úplnom zavedení do systému poskytuje RAT svojim operátorom množstvo možností. Aktéri hrozby môžu aktivovať vzdialený shell, vzdialené VNC (Virtual Network Computing), manipulovať so súborovým systémom, ovládať webovú kameru, aktivovať rutinu vzdialeného keyloggeru, eskalovať svoje privilégiá na zariadení a ďalšie.
Funkcia Password Manager AveMariaRAT sa môže pokúsiť ukradnúť poverenia účtu zo širokej škály cielených aplikácií vrátane populárnych webových prehliadačov, ako sú Chrome, Edge, prehliadač Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi a ďalšie. Okrem toho môže ovplyvniť rôznych e-mailových klientov vrátane MS Outlook, Microsoft Messaging, Tencent Foxmail atď.
