AveMariaRAT

Các nhà nghiên cứu an ninh mạng đã tìm cách phát hiện ra một chiến dịch email spam độc hại cung cấp các tệp đính kèm được vũ khí hóa. Các email thu hút về hoạt động đã được hiển thị cho người dùng dưới dạng thông báo quan trọng về một báo cáo thanh toán gần đây. Các tin nhắn cố gắng vượt qua chính nó như được gửi từ các nguồn có uy tín. Tuy nhiên, tệp Bổ trợ Excel (.xlam) được đính kèm chứa các macro độc hại được kích hoạt khi thực thi. Mục tiêu của những kẻ tấn công là cung cấp ba mối đe dọa RAT ( Trojan truy cập từ xa ) không lọc - AveMariaRAT, PandorahVNC RAT và BitRAT, tới thiết bị của nạn nhân. Thông tin chi tiết về vectơ lây nhiễm ban đầu và các mối đe dọa được chuyển giao đã được tiết lộ cho công chúng trong một báo cáo bảo mật của Fortinet.

Mối đe dọa AveMariaRAT là phần mềm độc hại mạnh cho phép các tác nhân đe dọa thiết lập quyền kiểm soát đối với thiết bị bị xâm nhập và thực hiện nhiều hành động xâm nhập. Đây là mối đe dọa đầu tiên trong số ba mối đe dọa RAT được xác định sẽ bị loại bỏ trên máy của nạn nhân bằng cách được đưa vào một quy trình mới được tạo có tên 'aspnet_compiler.exe.' Mối đe dọa được trang bị một số cờ chuyển đổi có thể sửa đổi xem nó có tự thêm vào nhóm chạy tự động hay không, cố gắng vượt qua UAC (Kiểm soát tài khoản người dùng) của Windows hoặc vượt qua Bộ bảo vệ Windows.

AveMaria thiết lập kết nối với máy chủ Command-and-Control (C2, C&C) với giao tiếp giữa hai máy chủ này được mã hóa RC4. Khi nó đã được thiết lập đầy đủ trên hệ thống, RAT cung cấp nhiều tùy chọn cho người vận hành. Các tác nhân đe dọa có thể kích hoạt trình bao từ xa, VNC từ xa (Máy tính mạng ảo), thao tác hệ thống tệp, điều khiển webcam, kích hoạt quy trình keylogger từ xa, nâng cấp đặc quyền của chúng trên thiết bị, v.v.

Tính năng Trình quản lý mật khẩu của AveMariaRAT có thể cố gắng lấy cắp thông tin đăng nhập tài khoản từ nhiều ứng dụng được nhắm mục tiêu bao gồm các trình duyệt web phổ biến như Chrome, Edge, trình duyệt Epic Privacy, Tencent QQBrowser, Opera, Brave, Vivaldi, v.v. Ngoài ra, nó có thể ảnh hưởng đến các ứng dụng email khác nhau bao gồm MS Outlook, Microsoft Messaging, Tencent Foxmail, v.v.

xu hướng

Xem nhiều nhất

Đang tải...