AveMariaRAT gedistribueerd in phishing-campagne
Beveiligingsonderzoekers van FortiGuard Labs volgden een nieuwe phishing-campagne die verschillende soorten bestandsloze malware verspreidde, waaronder ook een genaamd AveMariaRAT.
De campagne die AveMariaRAT verspreidt, maakt gebruik van valse documenten, die zich meestal voordoen als betalingsrapporten, als bijlage bij kwaadaardige e-mail. De aanvalsketen is vrij complex en omvat macro's, JavaScript in een HTML-bestand en PowerShell.
De AveMariaRAT, ook wel WARZONE RAT genoemd, is een van de verschillende soorten bestandsloze malware die in de campagne worden verspreid. De toolkit die AveMariaRAT tot zijn beschikking heeft, is formidabel en omvat de mogelijkheid om privileges te escaleren, het systeem op afstand te besturen en gevoelige informatie uit het doelsysteem te exfiltreren.
Eenmaal geïmplementeerd op het doelsysteem biedt AveMariaRAT externe shell-uitvoering, toegang tot bestandsverkenner en de procesmanager, downloaden en uitvoeren van bestanden, keylogging en webcam-afstandsbediening.
Samen met AveMariaRAT worden twee andere bestandsloze RAT's verspreid in dezelfde phishing-campagne. Een daarvan is de PandorahVNC RAT, de andere heet BitRAT. BitRAT is de meest veelzijdige van het stel, met een gerapporteerde enorme hoeveelheid van 172 commando's die beschikbaar zijn voor zijn operators.