AveMariaRAT
網絡安全研究人員設法發現了一個惡意垃圾郵件活動,該活動提供武器化文件附件。該操作的誘餌電子郵件作為有關最近付款報告的重要通知呈現給用戶。這些消息試圖將自己偽裝成是從信譽良好的來源發送的。但是,附加的 Excel 加載項 (.xlam) 文件包含在執行時觸發的惡意宏。攻擊者的目標是向受害者的設備發送三種無文件 RAT(遠程訪問木馬)威脅 - AveMariaRAT、PandorahVNC RAT 和 BitRAT。 Fortinet 在一份安全報告中向公眾披露了有關初始感染媒介和所傳遞威脅的詳細信息。
AveMariaRAT 威脅是一種強大的惡意軟件,它允許威脅參與者建立對被破壞設備的控制並執行許多侵入性操作。它是通過注入一個名為“aspnet_compiler.exe”的新創建的進程而被丟棄在受害者機器上的三個已識別 RAT 威脅中的第一個。該威脅配備了幾個開關標誌,可以修改是否將自身添加到自動運行組、嘗試繞過 Windows 的 UAC(用戶帳戶控制)或繞過 Windows Defender。
AveMaria 與命令和控制(C2、C&C)服務器建立連接,兩者之間的通信經過 RC4 加密。一旦在系統上完全建立起來,RAT 就會為其運營商提供多種選擇。威脅參與者可以激活遠程外殼、遠程 VNC(虛擬網絡計算)、操縱文件系統、控製網絡攝像頭、激活遠程鍵盤記錄程序、提升他們在設備上的權限等等。
AveMariaRAT 的密碼管理器功能可以嘗試從各種目標應用程序中竊取帳戶憑據,包括流行的網絡瀏覽器,例如 Chrome、Edge、Epic Privacy 瀏覽器、騰訊 QQBrowser、Opera、Brave、Vivaldi 等。此外,它還可以影響各種電子郵件客戶端,包括 MS Outlook、Microsoft Messaging、騰訊 Foxmail 等。
