AveMariaRAT

Cybersäkerhetsforskare har lyckats avslöja en skadlig e-postkampanj för skräppost som levererar beväpnade filbilagor. Mejlen med lockbete från operationen presenterades för användarna som viktiga meddelanden om en nyligen genomförd betalningsrapport. Meddelanden försökte framstå som skickade från välrenommerade källor. Den bifogade Excel-tilläggsfilen (.xlam) innehåller dock skadliga makron som utlöses vid körning. Målet för angriparna är att leverera tre fillösa RAT-hot ( Remote Access Trojans ) - AveMariaRAT, PandorahVNC RAT och BitRAT, till offrets enhet. Detaljer om den initiala infektionsvektorn och de levererade hoten avslöjades för allmänheten i en säkerhetsrapport från Fortinet.

AveMariaRAT-hotet är potent skadlig programvara som tillåter hotaktörer att etablera kontroll över den intrångade enheten och utföra många påträngande åtgärder. Det är det första av de tre identifierade RAT-hoten som släpps på offrets dator genom att injiceras i en nyskapad process med namnet 'aspnet_compiler.exe'. Hotet är utrustat med flera switchflaggor som kan ändra om det lägger till sig själv i autorun-gruppen, försöker kringgå Windows UAC (User Account Control) eller kringgå Windows Defender.

AveMaria upprättar en anslutning till en Command-and-Control-server (C2, C&C) där kommunikationen mellan de två är RC4-krypterad. När den väl har etablerats helt på systemet, ger RAT många alternativ till sina operatörer. Hotaktörerna kan aktivera remote shell, remote VNC (Virtual Network Computing), manipulera filsystemet, styra webbkameran, aktivera en fjärrkeylogger-rutin, eskalera sina privilegier på enheten och mer.

AveMariaRAT:s lösenordshanterarfunktion kan försöka stjäla kontouppgifter från ett brett utbud av riktade appar inklusive populära webbläsare som Chrome, Edge, Epic Privacy browser, Tencent QQBrowser, Opera, Brave, Vivaldi och mer. Dessutom kan det påverka olika e-postklienter inklusive MS Outlook, Microsoft Messaging, Tencent Foxmail, etc.