Вредоносная программа Ave Maria - это троянец удаленного доступа, который также называется WARZONE RAT. Хакеры используют его для удаленного управления компьютерами своих жертв и кражи информации с зараженных ПК. Например, они могут удаленно активировать камеру, чтобы сделать снимки жертвы и отправить их на сервер управления.
Ave Maria
Ave Maria - это троянец удаленного доступа, стиллер и кейлоггер. Это вредоносное ПО, которое злоумышленники могут использовать для получения удаленного контроля над зараженными машинами. Когда исследователи впервые обнаружили этот троянец, он считался довольно простым. Однако более поздние образцы удивляют расширенными функциями.
Вредоносная программа доступна в виде подписки на один или три месяца и может быть свободно приобретена злоумышленниками, что типично для вирусов этого типа. Пользователи также могут приобрести динамический DNS-сервер у того же распространителя для завершения пакета.
Общее описание вредоносной программы Ave Maria
Ave Maria - это модульный RAT с продвинутым дизайном. Когда он был впервые обнаружен, исследователи полагали, что вредоносная программа довольно проста и не будет повторять историю Ryuk ransomware. После последующего анализа выяснилось, что этот вирус имеет под капотом продвинутые функции, такие как повышение привилегий и удаленное управление камерами.
Согласно результатам анализа, троянец Ave Maria способен похищать широкий спектр данных с зараженных машин. Даже такая хорошо защищенная информация, как учетные данные, хранящиеся в Mozilla Firefox, не является безопасной, несмотря на используемое шифрование PK11.
Однако некоторые части вредоносной программы кажутся незаконченными. Похоже, что авторы продолжают работать над расширением ее функциональности. Учитывая, насколько эффективен этот RAT, такая идея не может не вызывать беспокойства.
Троян Ave Maria использует эксплойт для перехвата DLL, который на данный момент не имеет обозримого исправления. Он позволяет повысить привилегии процесса Windows и дать возможность вредоносному процессу получить административный контроль над зараженной машиной. К сожалению, вредоносная программа также способна избегать обнаружения на многих целевых машинах.
Как только вредоносная программа достигает первоначальной цели, она загружает на машину дополнительные плагины и даже другие вирусы, такие как Lokibot.
Indicators of Compromise
Domains
- santzo.warzonedns.com
Domains and port
- santzo.warzonedns.com:5201
MD5
- 620239d356bc0af1c8dd8846a2613424
SHA1
- 0d3d341acc603593c8e060220e5e5046f987c065
SHA256
- 9479384c915a5bf368753c99a365ac15a21652ee21bd5db5ccff32c6deb899f4
- fc0c90044b94b080f307c16494369a0796ac1d4e74e7912ba79c15cca241801c