AveMariaRAT Dystrybuowany w kampanii phishingowej

Badacze bezpieczeństwa z FortiGuard Labs wyśledzili nową kampanię phishingową, która rozpowszechniała kilka odmian bezplikowego złośliwego oprogramowania, w tym jedną o nazwie AveMariaRAT.

Kampania rozpowszechniająca AveMariaRAT wykorzystuje fałszywe dokumenty, zwykle podszywające się pod raporty płatności, dołączane do złośliwej poczty. Łańcuch ataków jest dość złożony i obejmuje makra, JavaScript zawarty w pliku HTML oraz PowerShell.

AveMariaRAT, czasami określany również jako WARZONE RAT, jest jednym z kilku rodzajów bezplikowego szkodliwego oprogramowania rozpowszechnianego w ramach kampanii. Zestaw narzędzi, który AveMariaRAT ma do dyspozycji, jest potężny i obejmuje możliwość eskalacji uprawnień, zdalnego sterowania systemem i wydobywania poufnych informacji z systemu docelowego.

Po wdrożeniu w systemie docelowym AveMariaRAT umożliwia zdalne wykonanie powłoki, dostęp do eksploratora plików i menedżera procesów, pobieranie i wykonywanie plików, rejestrowanie klawiszy i zdalne sterowanie kamerą internetową.

Wraz z AveMariaRAT, w ramach tej samej kampanii phishingowej są dystrybuowane dwa inne bezplikowe programy RAT. Jednym z nich jest PandorahVNC RAT, drugi nazywa się BitRAT. BitRAT jest najbardziej wszechstronny z tej grupy, z zgłoszonymi ogromnymi 172 poleceniami dostępnymi dla jego operatorów.