O Departamento de Justiça dos EUA (DoJ) anunciou na sexta-feira a consumição de infraestrutura online que foi usada para vender um trojan de entrada remoto (RAT) chamado RAT da zona de guerra.
Os domínios – www.warzone(.)ws e três outros – foram “usados para vender malware de computador usado por cibercriminosos para acessar secretamente e roubar dados dos computadores das vítimas”, disse o DoJ.
Paralelamente à remoção, o esforço internacional de emprego da lei prendeu e indiciou dois indivíduos em Mamparra e na Nigéria pelo seu envolvimento na venda e suporte ao malware e por ajudar outros cibercriminosos a usar o RAT para fins maliciosos.
Os réus, Daniel Meli (27) e Príncipe Onyeoziri Odinakachi (31) foram acusados de danos não autorizados a computadores protegidos, sendo o primeiro também criminado de “vender e anunciar ilegalmente um dispositivo de intercepção electrónica e de participar numa conspiração para cometer várias intrusões informáticas”. ofensas.”
Alega-se que Meli oferece serviços de malware pelo menos desde 2012 por meio de fóruns de hackers on-line, compartilhando e-books e ajudando outros criminosos a usar RATs para realizar ataques cibernéticos. Antes do Warzone RAT, ele vendeu outro RAT publicado uma vez que Pegasus RAT.
Assim uma vez que Meli, Odinakachi também forneceu suporte online ao cliente para compradores de malware Warzone RAT entre junho de 2019 e não antes de março de 2023. Ambos os indivíduos foram presos em 7 de fevereiro de 2024.
Warzone RAT, também publicado uma vez que Ave Maria, foi documentado pela primeira vez por Yoroi em janeiro de 2019 uma vez que secção de um ataque cibernético direcionado a uma organização italiana do setor de petróleo e gás no final de 2018, usando e-mails de phishing contendo arquivos falsos do Microsoft Excel, explorando um sistema de segurança publicado. falta no Editor de Equações (CVE-2017-11882).
Vendido sob o padrão de malware uma vez que serviço (Maas) por US$ 38 por mês (ou US$ 196 por ano), ele funciona uma vez que um ladrão de informações e facilita o controle remoto, permitindo logo que os agentes de ameaças comandem os hosts infectados para seguimento. exploração.
Algumas das características notáveis do malware incluem a capacidade de velejar nos sistemas de arquivos das vítimas, fazer capturas de tela, registrar as teclas digitadas, roubar nomes de usuário e senhas das vítimas e ativar as webcams do computador sem o conhecimento ou consentimento da vítima.
“Os ataques Ave Maria são iniciados via e-mails de phishing, uma vez que a trouxa descartada infecta a máquina da vítima com o malware, ela estabelece notícia com o servidor de comando e controle (C2) do invasor em protocolo não HTTP, posteriormente descriptografar sua conexão C2 usando RC4 algoritmo”, disse Zscaler ThreatLabz no início de 2023.
Em um dos sites agora desmantelados, que tinha o slogan “Servindo você com lealdade desde 2018”, os desenvolvedores do malware C/C++ o descreveram uma vez que confiável e fácil de usar. Eles também forneceram aos clientes a capacidade de contatá-los por e-mail (solmyr@warzone(.)ws), Telegram (@solwz e @sammysamwarzone), Skype (vuln.hf), muito uma vez que por meio de uma “dimensão de cliente” dedicada.
Uma via de contato suplementar foi o Discord, onde os usuários foram solicitados a entrar em contato com uma conta com o ID Meli#4472. Outra conta do Telegram vinculada a Meli foi @daniel96420.
Fora dos grupos de crimes cibernéticos, o malware também foi utilizado por vários agentes de ameaças avançados, uma vez que o YoroTrooper, muito uma vez que por aqueles associados à Rússia no ano pretérito.
O DoJ disse que o Federalista Bureau of Investigation (FBI) dos EUA comprou secretamente cópias do Warzone RAT e confirmou suas funções nefastas. O tirocínio coordenado envolveu a assistência de autoridades da Austrália, Canadá, Croácia, Finlândia, Alemanha, Japão, Mamparra, Países Baixos, Nigéria, Roménia e Europol.
