تروجانهای Ave Maria و Negasteal، از طریق ایمیلهای اسپمی با محتوای سند مالی جعلی یا سند جعلی مربوط به شرکتهای حمل و نقل ارسال میشوند
در صورت اجرای موفق بدافزارها در سیستم آلوده، اطلاعات مورد هدف مانند نامکاربری و گذرواژهها از طریق پروتکلهای HTTP، IMAP، POP۳ و SMTP سرقت میشوند.
برنامههای مورد هدف نیز Microsoft Outlook، Windows Messaging، Internet Explorer، Google Chrome، Foxmail، Thunderbird و Firefox هستند.
علاوه بر این، Ave Maria میتواند فایل دلخواه را در سیستم هدف ایجاد و ویرایش؛ فهرست پوشهها، فایلها و فرایندهای پردازشی را دریافت و فرایندهای پردازشی درحال اجرا را متوقف کند.
پژوهشگران TrendMicro میگویند: نسخه RAT استفاده شده در این عملیات دارای قابلیتهای بیشتری نسبت به یک جاسوسافزار است. این بدافزار میتواند کنترلهای UAC را دور بزند و سطح دسترسی خود را افزایش دهد.
تروجانهای استفاده شده در عملیات اسپم مخرب، از یک تروجان جاسوسی معمولی به بدافزارهای RAT خطرناک ارتقا یافتهاند که این امر نشان میدهد، مجرمان سایبری در حال حرکت به سمت انتقال payloadهای مخربتر و سودآورتر مانند باجافزارها هستند.
در این عملیات از فایلهای ISO مبهمسازی شده با AutoIT و همچنین پیوستهای RAR و LZH استفاده شده است تا از شناسایی بدافزار جلوگیری شود. فایلهای ISO میتوانند برای دور زدن فیلترهای اسپم بکار گرفته شوند. از طرفی این فایلها در نسخههای جدیدتر ویندوز براحتی اجرا میشوند.
اسناد مخرب پس از دانلود، بدافزارهای Negasteal و Ave Maria مبهمسازی شده توسط AutoIT را استخراج میکنند.
کارشناسان معاونت بررسی مرکز افتا از همه کاربران سیستمهای رایانهای میخواهند تا برای در امان ماندن سیستمهایشان از اینگونه تروجانها از باز کردن ایمیلهای ناشناخته خودداری کنند.