AveMariaRAT распространяется в рамках фишинговой кампании
Исследователи безопасности из FortiGuard Labs отследили новую фишинговую кампанию, в ходе которой распространялось несколько штаммов безфайлового вредоносного ПО, среди которых также был AveMariaRAT.
Кампания по распространению AveMariaRAT использует поддельные документы, обычно выдаваемые за платежные отчеты, прикрепленные к вредоносным письмам. Цепочка атак достаточно сложна и включает макросы, JavaScript, содержащийся в HTML-файле, и PowerShell.
AveMariaRAT, иногда также называемый WARZONE RAT, является одним из нескольких типов безфайловых вредоносных программ, распространяемых в рамках кампании. Инструментарий, который AveMariaRAT имеет в своем распоряжении, огромен и включает в себя возможность повышения привилегий, удаленного управления системой и извлечения конфиденциальной информации из целевой системы.
После развертывания в целевой системе AveMariaRAT обеспечивает удаленное выполнение оболочки, доступ к файловому проводнику и диспетчеру процессов, загрузку и выполнение файлов, регистрацию клавиатуры и удаленное управление веб-камерой.
Наряду с AveMariaRAT в рамках той же фишинговой кампании распространяются еще две безфайловые RAT. Один из них — PandorahVNC RAT, другой — BitRAT. BitRAT является наиболее универсальным из всех: его операторам доступны 172 команды.