AveMariaRAT

Cybersicherheitsforschern ist es gelungen, eine bösartige Spam-E-Mail-Kampagne aufzudecken, die bewaffnete Dateianhänge liefert. Die Köder-E-Mails der Operation wurden den Benutzern als wichtige Benachrichtigungen über einen kürzlich erfolgten Zahlungsbericht präsentiert. Die Nachrichten versuchten, sich als von seriösen Quellen gesendet auszugeben. Die angehängte Excel-Add-In-Datei (.xlam) enthält jedoch schädliche Makros, die bei der Ausführung ausgelöst werden. Das Ziel der Angreifer ist es, drei dateilose RAT-Bedrohungen ( Remote Access Trojans ) – AveMariaRAT, PandorahVNC RAT und BitRAT – auf das Gerät des Opfers zu übertragen. Details über den ursprünglichen Infektionsvektor und die gelieferten Bedrohungen wurden der Öffentlichkeit in einem Sicherheitsbericht von Fortinet offenbart.

Die AveMariaRAT-Bedrohung ist eine starke Malware, die es Angreifern ermöglicht, die Kontrolle über das angegriffene Gerät zu erlangen und zahlreiche Eingriffe durchzuführen. Es ist die erste der drei identifizierten RAT-Bedrohungen, die auf dem Computer des Opfers abgelegt wird, indem sie in einen frisch erstellten Prozess namens „aspnet_compiler.exe“ eingeschleust wird. Die Bedrohung ist mit mehreren Switch-Flags ausgestattet, die ändern können, ob sie sich selbst zur Autorun-Gruppe hinzufügt, versucht, die UAC (User Account Control) von Windows zu umgehen oder Windows Defender zu umgehen.

AveMaria stellt eine Verbindung mit einem Command-and-Control (C2, C&C)-Server her, wobei die Kommunikation zwischen den beiden RC4-verschlüsselt ist. Sobald es vollständig auf dem System eingerichtet ist, bietet das RAT seinen Bedienern zahlreiche Optionen. Die Bedrohungsakteure können Remote-Shell, Remote-VNC (Virtual Network Computing) aktivieren, das Dateisystem manipulieren, die Webcam steuern, eine Remote-Keylogger-Routine aktivieren, ihre Berechtigungen auf dem Gerät eskalieren und vieles mehr.

Die Passwort-Manager-Funktion von AveMariaRAT kann versuchen, Kontoanmeldeinformationen aus einer Vielzahl von gezielten Apps zu stehlen, darunter beliebte Webbrowser wie Chrome, Edge, Epic Privacy Browser, Tencent QQBrowser, Opera, Brave, Vivaldi und mehr. Darüber hinaus kann es Auswirkungen auf verschiedene E-Mail-Clients haben, darunter MS Outlook, Microsoft Messaging, Tencent Foxmail usw.