AveMariaRAT
Nagawa ng mga mananaliksik sa cybersecurity na tumuklas ng isang nakakahamak na spam na kampanya sa email na naghahatid ng mga naka-armas na file attachment. Ang mga pang-akit na email ng operasyon ay ipinakita sa mga user bilang mahalagang mga abiso tungkol sa isang kamakailang ulat sa pagbabayad. Sinubukan ng mga mensahe na ipasa ang kanilang mga sarili bilang ipinadala mula sa mga mapagkakatiwalaang mapagkukunan. Ang naka-attach na Excel Add-In (.xlam) file, gayunpaman, ay naglalaman ng mga nakakahamak na macro na na-trigger sa pagpapatupad. Ang layunin ng mga umaatake ay maghatid ng tatlong walang file na RAT ( Remote Access Trojans ) na banta - AveMariaRAT, PandorahVNC RAT, at BitRAT, sa device ng biktima. Ang mga detalye tungkol sa unang vector ng impeksyon at ang mga naihatid na banta ay inihayag sa publiko sa isang ulat ng seguridad ng Fortinet.
Ang banta ng AveMariaRAT ay malakas na malware na nagpapahintulot sa mga aktor ng pagbabanta na magtatag ng kontrol sa nilabag na device at magsagawa ng maraming mapanghimasok na aksyon. Ito ang una sa tatlong natukoy na banta sa RAT na ibinaba sa makina ng biktima sa pamamagitan ng pag-iniksyon sa isang bagong likhang proseso na pinangalanang 'aspnet_compiler.exe.' Ang banta ay nilagyan ng ilang switch flag na maaaring magbago kung idaragdag nito ang sarili nito sa auto-run na grupo, sinusubukang i-bypass ang UAC (User Account Control) ng Windows, o iwasan ang Windows Defender.
Ang AveMaria ay nagtatatag ng isang koneksyon sa isang Command-and-Control (C2, C&C) server na ang komunikasyon sa pagitan ng dalawa ay naka-encrypt na RC4. Kapag ganap na itong naitatag sa system, ang RAT ay nagbibigay ng maraming opsyon sa mga operator nito. Maaaring i-activate ng mga threat actor ang remote shell, remote VNC (Virtual Network Computing), manipulahin ang file system, kontrolin ang webcam, i-activate ang remote keylogger routine, palakihin ang kanilang mga pribilehiyo sa device, at higit pa.
Maaaring subukan ng feature ng Password Manager ng AveMariaRAT na magnakaw ng mga kredensyal ng account mula sa malawak na hanay ng mga naka-target na app kabilang ang mga sikat na web browser gaya ng Chrome, Edge, Epic Privacy browser, Tencent QQBrowser, Opera, Brave, Vivaldi, at higit pa. Bilang karagdagan, maaari itong makaapekto sa iba't ibang mga email client kabilang ang MS Outlook, Microsoft Messaging, Tencent Foxmail, atbp.
