AveMariaRAT distribuído em campanha de phishing
Pesquisadores de segurança do FortiGuard Labs rastrearam uma nova campanha de phishing que estava distribuindo várias variedades de malware sem arquivo, entre as quais também estava uma chamada AveMariaRAT.
A campanha de divulgação do AveMariaRAT usa documentos falsos, geralmente se passando por relatórios de pagamento, anexados a e-mails maliciosos. A cadeia de ataque é bastante complexa, envolvendo macros, JavaScript contido em um arquivo HTML e PowerShell.
O AveMariaRAT, às vezes também chamado de WARZONE RAT, é um dos vários tipos de malware sem arquivo distribuídos na campanha. O kit de ferramentas que o AveMariaRAT tem à sua disposição é formidável e inclui a capacidade de escalar privilégios, controlar remotamente o sistema e exfiltrar informações confidenciais do sistema de destino.
Uma vez implantado no sistema de destino, o AveMariaRAT permite a execução remota do shell, acesso ao explorador de arquivos e ao gerenciador de processos, download e execução de arquivos, keylogging e controle remoto da webcam.
Junto com o AveMariaRAT, dois outros RATs sem arquivo são distribuídos na mesma campanha de phishing. Um deles é o PandorahVNC RAT, o outro se chama BitRAT. O BitRAT é o mais versátil do grupo, com 172 comandos massivos relatados disponíveis para seus operadores.