AveMariaRAT distribué dans une campagne de phishing
Les chercheurs en sécurité de FortiGuard Labs ont suivi une nouvelle campagne de phishing qui distribuait plusieurs souches de logiciels malveillants sans fichier, parmi lesquels se trouvait également un appelé AveMariaRAT.
La campagne de diffusion d'AveMariaRAT utilise de faux documents, se présentant généralement comme des rapports de paiement, joints à des courriers malveillants. La chaîne d'attaque est assez complexe, impliquant des macros, du JavaScript contenu dans un fichier HTML et du PowerShell.
AveMariaRAT, parfois aussi appelé WARZONE RAT, est l'un des nombreux types de logiciels malveillants sans fichier distribués dans la campagne. La boîte à outils qu'AveMariaRAT a à sa disposition est formidable et inclut la possibilité d'élever les privilèges, de contrôler à distance le système et d'exfiltrer les informations sensibles du système cible.
Une fois déployé sur le système cible, AveMariaRAT permet l'exécution du shell à distance, l'accès à l'explorateur de fichiers et au gestionnaire de processus, le téléchargement et l'exécution de fichiers, l'enregistrement des frappes et le contrôle à distance de la webcam.
Avec AveMariaRAT, deux autres RAT sans fichier sont distribués dans la même campagne de phishing. L'un d'eux est le PandorahVNC RAT, l'autre s'appelle BitRAT. BitRAT est le plus polyvalent du groupe, avec un nombre massif de 172 commandes disponibles pour ses opérateurs.