Ave Maria Stealer

Вредоносная программа Ave Maria - это троянец удаленного доступа, который также называется WARZONE RAT. Хакеры используют его для удаленного управления компьютерами своих жертв и кражи информации с зараженных ПК. Например, они могут удаленно активировать камеру, чтобы сделать снимки жертвы и отправить их на сервер управления.

Также известен как

  • AVE_MARIA
  • Warzone RAT

Что такое вредоносная программа Ave Maria?

Ave Maria - это троянец удаленного доступа, похититель информации и кейлоггер. Это вредоносное ПО, которое злоумышленники могут использовать для получения удаленного контроля над зараженными машинами. Когда исследователи впервые обнаружили этот троянец, считалось, что он довольно прост. Однако более поздние образцы удивляют расширенными функциями.

Вредоносная программа доступна в виде подписки на один или три месяца и может быть свободно приобретена злоумышленниками, что типично для вирусов этого типа. Пользователи также могут приобрести динамический DNS-сервер у того же распространителя для завершения пакета.

Общее описание вредоносной программы Ave Maria

Ave Maria - это модульный RAT с продвинутым дизайном. Когда он был впервые обнаружен, исследователи полагали, что вредоносная программа довольно проста и не будет повторять историю Ryuk ransomware. После последующего анализа выяснилось, что этот вирус имеет под капотом продвинутые функции, такие как повышение привилегий и удаленное управление камерами.

Согласно результатам анализа, троянец Ave Maria способен похищать широкий спектр данных с зараженных машин. Даже такая хорошо защищенная информация, как учетные данные, хранящиеся в Mozilla Firefox, не является безопасной, несмотря на используемое шифрование PK11.

Однако некоторые части вредоносной программы кажутся незаконченными. Похоже, что авторы продолжают работать над расширением ее функциональности. Учитывая, насколько эффективен этот RAT, такая идея не может не вызывать беспокойства.

Троян Ave Maria использует эксплойт для перехвата DLL, который на данный момент не имеет обозримого исправления. Он позволяет повысить привилегии процесса Windows и дать возможность вредоносному процессу получить административный контроль над зараженной машиной. К сожалению, вредоносная программа также способна избегать обнаружения на многих целевых машинах.

Как только вредоносная программа достигает первоначальной цели, она загружает на машину дополнительные плагины и даже другие вирусы, такие как Lokibot.

Процесс выполнения вредоносной программы Ave Maria

По результатам анализа, процесс выполнения Ave Maria RAT может несколько отличаться в зависимости от версии. Поскольку основным вектором распространения этой вредоносной программы являются вредоносные спам-рассылки, она обычно использует уязвимость CVE-2017-11882 (Microsoft Equation Editor), но может заражать систему и другими способами.

В анализируемом примере Maldoc загружается и исполняется через макрос. Затем вредоносная программа копирует и запускает себя из каталога %temp%. Троян Ave Maria изменяет значение автозапуска в реестре и создает запланированную задачу для обеспечения устойчивости. Вредоносная программа использует pkgmgr.exe для загрузки вредоносной DLL (dismcore.dll), которая запускает экземпляр вредоносной программы с более высокими привилегиями для повышения привилегий. Кроме того, вирус часто внедряется в процесс explorer.exe.

После всех этих действий Ave Maria RAT начинает свою вредоносную деятельность, такую как функция кейлоггера, сохраняя все нажатия клавиш и другие действия пользователя в файл, устанавливает соединение с C2-сервером, крадет больше данных из системы и так далее.

Распространение вредоносной программы Ave Maria

Как и Revenge, Glupteba и многие другие RAT и ransomware, Ave Maria распространяется в спам-рассылках по электронной почте с вредоносным вложением. Однако злоумышленники часто используют фишинговые техники, чтобы адаптировать письма для каждого целевого сегмента потенциальных жертв более тщательно, чем в обычном почтовом спаме.

Опасность метода распространения Ave Maria RAT, наряду с адаптированными кампаниями, заключается в отсутствии использования макросов или необходимости взаимодействия с пользователем после загрузки вредоносного документа жертвой. Заражение часто начинается из-за использования эксплойта Microsoft Equation Editor, применяемого встроенным объектом, содержащимся в загруженном документе.

Заключение

Вредоносная программа Ave Maria должна рассматриваться как серьезная угроза кибербезопасности, как RAT или ransomware. Она использует уязвимость, которая может остаться неисправленной в обозримом будущем.

Кроме того, совместное воздействие высоконаправленных фишинговых писем и отсутствие необходимости взаимодействия с пользователем для начала исполнения делают шанс заражения этой вредоносной программой выше среднего. Следует также добавить, что последние образцы вредоносной программы продемонстрировали значительные улучшения по сравнению с первыми сообщениями. Можно предположить, что в дальнейшем Ave Maria будет усовершенствована.

Поделиться с друзьями
SEC-1275-1