AveMariaRAT wird in einer Phishing-Kampagne verteilt
Sicherheitsforscher von FortiGuard Labs verfolgten eine neue Phishing-Kampagne, die mehrere Stämme dateiloser Malware verbreitete, darunter auch eine namens AveMariaRAT.
Die Kampagne zur Verbreitung von AveMariaRAT verwendet gefälschte Dokumente, die sich normalerweise als Zahlungsberichte ausgeben und an böswillige E-Mails angehängt werden. Die Angriffskette ist ziemlich komplex und umfasst Makros, in einer HTML-Datei enthaltenes JavaScript und PowerShell.
Die AveMariaRAT, manchmal auch als WARZONE RAT bezeichnet, ist eine von mehreren Arten von dateiloser Malware, die in der Kampagne verbreitet wird. Das Toolkit, über das AveMariaRAT verfügt, ist beeindruckend und umfasst die Fähigkeit, Berechtigungen zu eskalieren, das System fernzusteuern und vertrauliche Informationen aus dem Zielsystem zu exfiltrieren.
Nach der Bereitstellung auf dem Zielsystem ermöglicht AveMariaRAT die Remote-Shell-Ausführung, den Zugriff auf den Datei-Explorer und den Prozessmanager, das Herunterladen und Ausführen von Dateien, das Keylogging und die Webcam-Fernsteuerung.
Zusammen mit AveMariaRAT werden zwei weitere dateilose RATs in derselben Phishing-Kampagne verbreitet. Eine davon ist die PandorahVNC RAT, die andere heißt BitRAT. BitRAT ist das vielseitigste der Gruppe, mit gemeldeten massiven 172 Befehlen, die seinen Betreibern zur Verfügung stehen.