El Departamento de Justicia de Estados Unidos (DoJ) anunció el viernes la incautación de la infraestructura en línea que se utilizaba para vender un troyano de acceso remoto (RAT) llamado RATA de zona de guerra.
Los dominios – www.zona de guerra[.]ws y otros tres – fueron «utilizados para vender malware informático utilizado por los ciberdelincuentes para acceder en secreto y robar datos de las computadoras de las víctimas», dijo el Departamento de Justicia. dicho.
Además de la eliminación, el esfuerzo internacional de aplicación de la ley arrestó y acusó a dos personas en Malta y Nigeria por su participación en la venta y soporte del malware y por ayudar a otros ciberdelincuentes a utilizar el RAT con fines maliciosos.
Los acusados, Daniel Meli (27) y Prince Onyeoziri Odinakachi (31), han sido acusados de daños no autorizados a ordenadores protegidos, y el primero también está acusado de «vender y publicitar ilegalmente un dispositivo de interceptación electrónica y participar en una conspiración para cometer varias intrusiones informáticas». ofensas.»
Se alega que Meli ha ofrecido servicios de malware al menos desde 2012 a través de foros de piratería en línea, compartiendo libros electrónicos y ayudando a otros delincuentes a utilizar RAT para llevar a cabo ataques cibernéticos. Antes de Warzone RAT, había vendido otro RAT conocido como Pegasus RAT.
Al igual que Meli, Odinakachi también brindó atención al cliente en línea a compradores de malware Warzone RAT entre junio de 2019 y no antes de marzo de 2023. Ambas personas fueron arrestadas el 7 de febrero de 2024.
Warzone RAT, también conocida como Ave María, fue documentado por primera vez por Yoroi en enero de 2019 como parte de un ciberataque dirigido a una organización italiana del sector del petróleo y el gas a finales de 2018 utilizando correos electrónicos de phishing con archivos falsos de Microsoft Excel que explotaban una falla de seguridad conocida en el Editor de ecuaciones (CVE-2017-11882) .
Vendido bajo el modelo de malware como servicio (Maas) por 38 dólares al mes (o 196 dólares al año), funciones como un ladrón de información y facilita el control remoto, permitiendo así que los actores de amenazas se apoderen de los hosts infectados para su posterior explotación.
Algunas de las características notables del malware incluyen la capacidad de explorar los sistemas de archivos de la víctima, tomar capturas de pantalla, registrar pulsaciones de teclas, robar nombres de usuario y contraseñas de la víctima y activar las cámaras web de la computadora sin el conocimiento o consentimiento de la víctima.
«Los ataques Ave María se inician a través de correos electrónicos de phishing, una vez que la carga útil caída infecta la máquina de la víctima con el malware, establece comunicación con el servidor de comando y control (C2) del atacante en un protocolo que no es HTTP, después de descifrar su conexión C2 usando RC4 algoritmo», Zscaler ThreatLabz dicho a principios de 2023.
En uno de los sitios web ahora desmantelados, que tenía el lema «Servimos lealmente desde 2018», los desarrolladores del malware C/C++ lo describieron como confiable y fácil de usar. También brindaron a los clientes la posibilidad de contacto ellos por correo electrónico (solmyr@warzone[.]ws), Telegrama (@solwz y @sammysamwarzone), Skype (vuln.hf), así como a través de un dedicado «Área de Clientes«.
Una vía de contacto adicional fue Discord, donde se pidió a los usuarios que se pusieran en contacto con una cuenta con el ID Meli#4472. Otra cuenta de Telegram vinculada a Meli fue @daniel96420.
Fuera de los grupos de ciberdelincuencia, el malware también ha sido utilizado por varios actores de amenazas avanzadas como YoroTrooper, así como por aquellos asociados con Rusia durante el año pasado.
El Departamento de Justicia dijo que la Oficina Federal de Investigaciones (FBI) de EE. UU. compró de forma encubierta copias de Warzone RAT y confirmó sus nefastas funciones. El ejercicio coordinado contó con la asistencia de autoridades de Australia, Canadá, Croacia, Finlandia, Alemania, Japón, Malta, Países Bajos, Nigeria, Rumania y Europol.