AveMariaRAT Distribuito in Campagna di Phishing
I ricercatori di sicurezza con FortiGuard Labs hanno monitorato una nuova campagna di phishing che stava distribuendo diversi ceppi di malware senza file, tra cui anche uno chiamato AveMariaRAT.
La campagna di diffusione di AveMariaRAT utilizza documenti falsi, solitamente spacciati per rapporti di pagamento, allegati a posta malevola. La catena di attacco è piuttosto complessa e coinvolge macro, JavaScript contenuto in un file HTML e PowerShell.
L'AveMariaRAT, a volte indicato anche come WARZONE RAT, è uno dei numerosi tipi di malware senza file distribuiti nella campagna. Il toolkit che AveMariaRAT ha a sua disposizione è formidabile e include la possibilità di aumentare i privilegi, controllare in remoto il sistema ed esfiltrare informazioni sensibili dal sistema di destinazione.
Una volta implementato sul sistema di destinazione, AveMariaRAT consente l'esecuzione remota della shell, l'accesso a esploratore di file e al gestore di processo, il download e l'esecuzione di file, il keylogging e il controllo remoto della webcam.
Insieme ad AveMariaRAT, nella stessa campagna di phishing vengono distribuiti altri due RAT fileless. Uno di questi è PandorahVNC RAT, l'altro si chiama BitRAT. BitRAT è il più versatile del gruppo, con ben 172 comandi a disposizione dei suoi operatori.