AveMariaRAT

サイバーセキュリティの研究者は、武器化された添付ファイルを配信する悪意のあるスパムメールキャンペーンを発見することに成功しました。オペレーションのルアーメールは、最近の支払いレポートに関する重要な通知としてユーザーに提示されました。メッセージは、信頼できるソースから送信されたものとして自分自身を通過させようとしました。ただし、添付のExcelアドイン（.xlam）ファイルには、実行時にトリガーされる悪意のあるマクロが含まれています。攻撃者の目的は、3つのファイルレスRAT（リモートアクセストロイの木馬）の脅威（AveMariaRAT、PandorahVNC RAT、およびBitRAT）を被害者のデバイスに配信することです。初期の感染ベクトルと配信された脅威に関する詳細は、フォーティネットによるセキュリティレポートで一般に公開されました。

AveMariaRAT脅威は強力なマルウェアであり、脅威の攻撃者が侵害されたデバイスの制御を確立し、多数の侵入アクションを実行できるようにします。これは、「aspnet_compiler.exe」という名前の新しく作成されたプロセスに注入されることにより、被害者のマシンにドロップされる3つの識別されたRAT脅威の最初のものです。脅威には、自動実行グループに自分自身を追加するか、WindowsのUAC（ユーザーアカウント制御）をバイパスしようとするか、Windows Defenderを回避するかを変更できる、いくつかのスイッチフラグが装備されています。

AveMariaは、コマンドアンドコントロール（C2、C＆C）サーバーとの接続を確立し、2つのサーバー間の通信はRC4で暗号化されます。システム上で完全に確立されると、RATはそのオペレーターに多数のオプションを提供します。攻撃者は、リモートシェル、リモートVNC（Virtual Network Computing）のアクティブ化、ファイルシステムの操作、Webカメラの制御、リモートキーロガールーチンのアクティブ化、デバイスでの特権のエスカレーションなどを行うことができます。

AveMariaRATのパスワードマネージャー機能は、Chrome、Edge、Epic Privacyブラウザー、Tencent QQBrowser、Opera、Brave、Vivaldiなどの人気のあるWebブラウザーを含む、幅広いターゲットアプリからアカウントの資格情報を盗もうとすることができます。さらに、MS Outlook、Microsoft Messaging、TencentFoxmailなどのさまざまな電子メールクライアントに影響を与える可能性があります。