AveMariaRAT
Los investigadores de seguridad cibernética han logrado descubrir una campaña maliciosa de correo electrónico no deseado que entrega archivos adjuntos armados. Los correos electrónicos atractivos de la operación se presentaron a los usuarios como notificaciones importantes sobre un informe de pago reciente. Los mensajes intentaron hacerse pasar por enviados desde fuentes confiables. Sin embargo, el archivo de complemento de Excel adjunto (.xlam) contiene macros malintencionadas que se activan al ejecutarse. El objetivo de los atacantes es entregar tres amenazas RAT ( troyanos de acceso remoto ) sin archivos: AveMariaRAT, PandorahVNC RAT y BitRAT, al dispositivo de la víctima. Los detalles sobre el vector de infección inicial y las amenazas enviadas se revelaron al público en un informe de seguridad de Fortinet.
La amenaza AveMariaRAT es un malware potente que permite a los actores de amenazas establecer el control sobre el dispositivo violado y realizar numerosas acciones intrusivas. Es la primera de las tres amenazas RAT identificadas que se colocan en la máquina de la víctima al ser inyectadas en un proceso recién creado llamado 'aspnet_compiler.exe'. La amenaza está equipada con varios indicadores de cambio que pueden modificar si se agrega al grupo de ejecución automática, intenta eludir el UAC (Control de cuentas de usuario) de Windows o elude Windows Defender.
AveMaria establece una conexión con un servidor de Comando y Control (C2, C&C) con la comunicación entre los dos encriptada RC4. Una vez que se ha establecido por completo en el sistema, la RAT proporciona numerosas opciones a sus operadores. Los actores de amenazas pueden activar shell remoto, VNC remoto (Computación de red virtual), manipular el sistema de archivos, controlar la cámara web, activar una rutina de registro de teclas remoto, escalar sus privilegios en el dispositivo y más.
La función Password Manager de AveMariaRAT puede intentar robar credenciales de cuenta de una amplia gama de aplicaciones específicas, incluidos navegadores web populares como Chrome, Edge, Epic Privacy browser, Tencent QQBrowser, Opera, Brave, Vivaldi y más. Además, puede afectar a varios clientes de correo electrónico, incluidos MS Outlook, Microsoft Messaging, Tencent Foxmail, etc.
