AveMariaRAT

Siber güvenlik araştırmacıları, silahlaştırılmış dosya ekleri sunan kötü niyetli bir spam e-posta kampanyasını ortaya çıkarmayı başardılar. Operasyonun cezbedici e-postaları, son bir ödeme raporuyla ilgili önemli bildirimler olarak kullanıcılara sunuldu. Mesajlar, saygın kaynaklardan gönderiliyormuş gibi kendilerini aktarmaya çalıştı. Ancak ekteki Excel Eklentisi (.xlam) dosyası, yürütme sırasında tetiklenen kötü amaçlı makrolar içerir. Saldırganların amacı, kurbanın cihazına üç dosyasız RAT ( Uzaktan Erişim Truva Atları ) tehdidi - AveMariaRAT, PandorahVNC RAT ve BitRAT iletmektir. İlk enfeksiyon vektörü ve iletilen tehditlerle ilgili ayrıntılar, Fortinet tarafından hazırlanan bir güvenlik raporunda kamuoyuna açıklandı.

AveMariaRAT tehdidi, tehdit aktörlerinin ihlal edilen cihaz üzerinde kontrol kurmasına ve çok sayıda müdahaleci eylem gerçekleştirmesine izin veren güçlü bir kötü amaçlı yazılımdır. Bu, 'aspnet_compiler.exe' adlı yeni oluşturulmuş bir işleme enjekte edilerek kurbanın makinesine bırakılan, tanımlanan üç RAT tehdidinden ilkidir. Tehdit, kendisini otomatik çalıştırma grubuna ekleyip eklemediğini, Windows'un UAC'sini (Kullanıcı Hesabı Denetimi) atlamaya çalışıp çalışmadığını veya Windows Defender'ı atlatmasını değiştirebilen birkaç anahtar işaretiyle donatılmıştır.

AveMaria, ikisi arasındaki iletişimin RC4 şifreli olduğu bir Komut ve Kontrol (C2, C&C) sunucusuyla bağlantı kurar. Sistem üzerinde tam olarak kurulduktan sonra RAT, operatörlerine çok sayıda seçenek sunar. Tehdit aktörleri, uzak kabuğu, uzak VNC'yi (Sanal Ağ Bilgi İşlem) etkinleştirebilir, dosya sistemini değiştirebilir, web kamerasını kontrol edebilir, bir uzak tuş kaydedici rutinini etkinleştirebilir, cihazdaki ayrıcalıklarını yükseltebilir ve daha fazlasını yapabilir.

AveMariaRAT'ın Password Manager özelliği, Chrome, Edge, Epic Privacy tarayıcı, Tencent QQBrowser, Opera, Brave, Vivaldi ve daha fazlası gibi popüler web tarayıcıları dahil olmak üzere çok çeşitli hedeflenen uygulamalardan hesap kimlik bilgilerini çalmaya çalışabilir. Ayrıca, MS Outlook, Microsoft Messaging, Tencent Foxmail vb. dahil olmak üzere çeşitli e-posta istemcilerini etkileyebilir.