Az adathalász kampányban terjesztett AveMariaRAT
A FortiGuard Labs biztonsági kutatói nyomon követtek egy új adathalász kampányt, amely a fájl nélküli rosszindulatú programok több fajtáját terjesztette, köztük volt egy AveMariaRAT is.
Az AveMariaRAT-ot terjesztő kampány hamis dokumentumokat használ, amelyek általában fizetési jelentésként szerepelnek, és rosszindulatú levelekhez csatolják. A támadási lánc meglehetősen összetett, makrókat, HTML-fájlban található JavaScriptet és PowerShellt tartalmaz.
Az AveMariaRAT, amelyet néha WARZONE RAT-nak is neveznek, egyike a kampányban terjesztett többféle fájl nélküli rosszindulatú programnak. Az AveMariaRAT rendelkezésére álló eszközkészlet félelmetes, és magában foglalja a jogosultságok kiterjesztését, a rendszer távoli vezérlését és az érzékeny információk kiszűrését a célrendszerből.
Miután telepítették a célrendszerre, az AveMariaRAT lehetővé teszi a távoli shell-végrehajtást, a fájlkezelőhöz és a folyamatkezelőhöz való hozzáférést, a fájlok letöltését és végrehajtását, a billentyűnaplózást és a webkamera távvezérlését.
Az AveMariaRAT mellett két másik fájl nélküli RAT is kerül terjesztésre ugyanabban az adathalász kampányban. Az egyik a PandorahVNC RAT, a másik a BitRAT. A BitRAT a legsokoldalúbb a csoportból, és a jelentések szerint hatalmas, 172 parancs áll az operátorok rendelkezésére.