Het Amerikaanse ministerie van Justitie (DoJ) heeft vrijdag de inbeslagname aangekondigd van online-infrastructuur die werd gebruikt om een trojan voor externe toegang (RAT) te verkopen, genaamd Warzone-RAT.
De domeinen – www.warzone[.]ws en drie anderen – werden “gebruikt om computermalware te verkopen die door cybercriminelen wordt gebruikt om in het geheim toegang te krijgen tot gegevens van de computers van slachtoffers en deze te stelen”, aldus het DoJ.
Naast de verwijdering hebben de internationale wetshandhavingsinspanningen twee personen in Malta en Nigeria gearresteerd en aangeklaagd wegens hun betrokkenheid bij het verkopen en ondersteunen van de malware en het helpen van andere cybercriminelen om de RAT voor kwaadaardige doeleinden te gebruiken.
De beklaagden, Daniel Meli (27) en prins Onyeoziri Odinakachi (31), zijn beschuldigd van ongeoorloofde schade aan beschermde computers, waarbij de eerstgenoemde ook wordt beschuldigd van het ‘illegaal verkopen en adverteren van een elektronisch onderscheppingsapparaat en het deelnemen aan een samenzwering om verschillende computerinbraken te plegen. overtredingen.”
Meli zou in ieder geval sinds 2012 malwarediensten hebben aangeboden via online hackforums, het delen van e-books en het helpen van andere criminelen bij het gebruik van RAT’s om cyberaanvallen uit te voeren. Vóór Warzone RAT had hij een andere RAT verkocht, bekend als Pegasus RAT.
Net als Meli bood Odinakachi tussen juni 2019 en niet eerder dan maart 2023 ook online klantenondersteuning aan kopers van Warzone RAT-malware. Beide personen werden op 7 februari 2024 gearresteerd.
Warzone RAT, ook bekend als Ave Maria, werd voor het eerst gedocumenteerd door Yoroi in januari 2019 als onderdeel van een cyberaanval gericht op een Italiaanse organisatie in de olie- en gassector eind 2018, waarbij gebruik werd gemaakt van phishing-e-mails met valse Microsoft Excel-bestanden die misbruik maakten van een bekende beveiliging fout in de vergelijkingseditor (CVE-2017-11882).
Het wordt verkocht onder het Malware-as-a-Service (Maas)-model voor $38 per maand (of $196 voor een jaar), het functioneert als informatie-diefstal en maakt bediening op afstand mogelijk, waardoor bedreigingsactoren de geïnfecteerde hosts kunnen opeisen voor vervolgacties. exploitatie.
Enkele van de opvallende kenmerken van de malware zijn onder meer de mogelijkheid om door bestandssystemen van slachtoffers te bladeren, schermafbeeldingen te maken, toetsaanslagen op te nemen, gebruikersnamen en wachtwoorden van slachtoffers te stelen en de webcams van de computer te activeren zonder medeweten of toestemming van het slachtoffer.
“Ave Maria-aanvallen worden geïnitieerd via phishing-e-mails. Zodra de gedropte lading de machine van het slachtoffer met de malware infecteert, brengt deze communicatie tot stand met de command-and-control (C2)-server van de aanvaller op een niet-HTTP-protocol, nadat de C2-verbinding is gedecodeerd met behulp van RC4 algoritme”, zei Zscaler ThreatLabz begin 2023.
Op een van de inmiddels ontmantelde websites, met de slogan ‘Serving you loyally Since 2018’, beschreven de ontwikkelaars van de C/C++-malware deze als betrouwbaar en gebruiksvriendelijk. Ze boden klanten ook de mogelijkheid om via e-mail contact met hen op te nemen (solmyr@warzone[.]ws), Telegram (@solwz en @sammysamwarzone), Skype (vuln.hf), evenals via een speciaal “klantgedeelte”.
Een extra contactmogelijkheid was Discord, waar de gebruikers werd gevraagd contact op te nemen met een account met de ID Meli#4472. Een ander Telegram-account dat aan Meli was gekoppeld, was @daniel96420.
Buiten cybercriminaliteitsgroepen is de malware het afgelopen jaar ook gebruikt door verschillende geavanceerde dreigingsactoren zoals YoroTrooper en aan Rusland gelieerde actoren.
Het DoJ zei dat het Amerikaanse Federal Bureau of Investigation (FBI) heimelijk kopieën van Warzone RAT heeft gekocht en de snode functies ervan heeft bevestigd. Bij de gecoördineerde oefening was hulp betrokken van de autoriteiten in Australië, Canada, Kroatië, Finland, Duitsland, Japan, Malta, Nederland, Nigeria, Roemenië en Europol.
