AveMariaRAT
Дослідникам з кібербезпеки вдалося виявити зловмисну спам-кампанію електронної пошти, яка доставляла збройні вкладені файли. Електронні листи про приманку операції були представлені користувачам як важливі сповіщення про останній звіт про платежі. Повідомлення намагалися видати як надіслані з авторитетних джерел. Однак доданий файл надбудови Excel (.xlam) містить шкідливі макроси, які запускаються під час виконання. Мета зловмисників — доставити на пристрій жертви три безфайлові загрози RAT ( трояни віддаленого доступу ) — AveMariaRAT, PandorahVNC RAT і BitRAT. Деталі про початковий вектор зараження та доставлені загрози були розкриті громадськості у звіті з безпеки Fortinet.
Загроза AveMariaRAT — це потужне зловмисне програмне забезпечення, яке дозволяє учасникам загроз встановити контроль над зламаним пристроєм і виконувати численні нав’язливі дії. Це перша з трьох ідентифікованих загроз RAT, які були скинуті на машину жертви шляхом введення в нещодавно створений процес під назвою «aspnet_compiler.exe». Загроза оснащена кількома позначками перемикання, які можуть змінювати, чи додає вона себе до групи автоматичного запуску, чи намагається обійти UAC (контроль облікових записів користувачів) Windows або обійти Windows Defender.
AveMaria встановлює з’єднання із сервером командування та керування (C2, C&C), причому зв’язок між ними шифрується RC4. Після повного встановлення в системі RAT надає своїм операторам численні опції. Зловмисники можуть активувати віддалену оболонку, віддалений VNC (віртуальні мережеві обчислення), маніпулювати файловою системою, керувати веб-камерою, активувати процедуру віддаленого кейлоггера, підвищувати свої привілеї на пристрої тощо.
Функція Менеджера паролів AveMariaRAT може спробувати викрасти облікові дані з широкого спектру цільових програм, включаючи популярні веб-браузери, такі як Chrome, Edge, Epic Privacy browser, Tencent QQBrowser, Opera, Brave, Vivaldi тощо. Крім того, це може впливати на різні клієнти електронної пошти, включаючи MS Outlook, Microsoft Messaging, Tencent Foxmail тощо.
