AveMariaRAT

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญอีเมลสแปมที่เป็นอันตรายซึ่งส่งไฟล์แนบที่มีอาวุธ อีเมลหลอกลวงของการดำเนินการถูกนำเสนอต่อผู้ใช้เป็นการแจ้งเตือนที่สำคัญเกี่ยวกับรายงานการชำระเงินล่าสุด ข้อความพยายามที่จะส่งผ่านตัวเองว่าถูกส่งจากแหล่งที่มีชื่อเสียง อย่างไรก็ตาม ไฟล์ Add-In ของ Excel (.xlam) ที่แนบมานั้นมีมาโครที่เป็นอันตรายซึ่งถูกทริกเกอร์เมื่อดำเนินการ เป้าหมายของผู้โจมตีคือส่งภัยคุกคาม RAT ( โทรจันการเข้าถึงระยะไกล ) แบบไม่มีไฟล์สามรายการ ได้แก่ AveMariaRAT, PandorahVNC RAT และ BitRAT ไปยังอุปกรณ์ของเหยื่อ รายละเอียดเกี่ยวกับเวกเตอร์การติดเชื้อเริ่มต้นและภัยคุกคามที่ส่งถูกเปิดเผยต่อสาธารณะในรายงานความปลอดภัยโดย Fortinet

ภัยคุกคาม AveMariaRAT เป็นมัลแวร์ที่มีศักยภาพที่ช่วยให้ผู้คุกคามสามารถควบคุมอุปกรณ์ที่ละเมิดและดำเนินการล่วงล้ำมากมาย เป็นภัยคุกคามแรกจากสามภัยคุกคาม RAT ที่ระบุที่จะถูกทิ้งลงในเครื่องของเหยื่อโดยถูกฉีดเข้าไปในกระบวนการที่สร้างขึ้นใหม่ชื่อ 'aspnet_compiler.exe' ภัยคุกคามนี้มีการตั้งค่าสถานะสวิตช์หลายตัวที่สามารถปรับเปลี่ยนได้ ไม่ว่าจะเป็นการเพิ่มตัวเองในกลุ่มการทำงานอัตโนมัติ พยายามเลี่ยง UAC ของ Windows (การควบคุมบัญชีผู้ใช้) หรือหลีกเลี่ยง Windows Defender

AveMaria สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) โดยมีการสื่อสารระหว่างทั้งสองถูกเข้ารหัส RC4 เมื่อสร้างเสร็จแล้วบนระบบ RAT จะมีตัวเลือกมากมายให้กับผู้ปฏิบัติงาน ผู้คุกคามสามารถเปิดใช้งานเชลล์ระยะไกล VNC ระยะไกล (Virtual Network Computing) จัดการระบบไฟล์ ควบคุมเว็บแคม เปิดใช้งานรูทีนคีย์ล็อกเกอร์ระยะไกล ยกระดับสิทธิ์ในอุปกรณ์ และอื่นๆ

ฟีเจอร์ตัวจัดการรหัสผ่านของ AveMariaRAT สามารถพยายามขโมยข้อมูลประจำตัวของบัญชีจากแอปเป้าหมายที่หลากหลาย รวมถึงเว็บเบราว์เซอร์ยอดนิยม เช่น Chrome, Edge, เบราว์เซอร์ Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi และอื่นๆ นอกจากนี้ยังสามารถส่งผลกระทบต่อไคลเอนต์อีเมลต่างๆ รวมถึง MS Outlook, Microsoft Messaging, Tencent Foxmail เป็นต้น

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...