AveMariaRAT Distribuida en Campaña de Phishing
Los investigadores de seguridad de FortiGuard Labs rastrearon una nueva campaña de phishing que distribuía varias cepas de malware sin archivos, entre las que también se encontraba una llamada AveMariaRAT.
La campaña de difusión de AveMariaRAT utiliza documentos falsos, que normalmente se hacen pasar por informes de pago, adjuntos a correos maliciosos. La cadena de ataque es bastante compleja e involucra macros, JavaScript contenido en un archivo HTML y PowerShell.
El AveMariaRAT, a veces también conocido como WARZONE RAT, es uno de los varios tipos de malware sin archivos distribuidos en la campaña. El conjunto de herramientas que AveMariaRAT tiene a su disposición es formidable e incluye la capacidad de escalar privilegios, controlar el sistema de forma remota y filtrar información confidencial del sistema de destino.
Una vez implementado en el sistema de destino, AveMariaRAT permite la ejecución remota de shell, el acceso al explorador de archivos y al administrador de procesos, la descarga y ejecución de archivos, el registro de teclas y el control remoto de la cámara web.
Junto con AveMariaRAT, otras dos RAT sin archivos se distribuyen en la misma campaña de phishing. Uno de ellos es PandorahVNC RAT, el otro se llama BitRAT. BitRAT es el más versátil del grupo, con 172 comandos masivos reportados disponibles para sus operadores.