Le ministère américain de la Justice (DoJ) a annoncé vendredi la saisie de l’infrastructure en ligne utilisée pour vendre un cheval de Troie d’accès à distance (RAT) appelé Zone de guerre RAT.
Les domaines – www.warzone[.]ws et trois autres – ont été « utilisés pour vendre des logiciels malveillants utilisés par les cybercriminels pour accéder secrètement aux données des ordinateurs des victimes et les voler », a déclaré le ministère de la Justice. dit.
Parallèlement au retrait, les forces de l’ordre internationales ont arrêté et inculpé deux personnes à Malte et au Nigéria pour leur implication dans la vente et le soutien du logiciel malveillant et pour avoir aidé d’autres cybercriminels à utiliser le RAT à des fins malveillantes.
Les prévenus, Daniel Meli (27 ans) et le prince Onyeoziri Odinakachi (31 ans) ont été inculpés de dommages non autorisés à des ordinateurs protégés, le premier étant également accusé de « vente et publicité illégales d’un dispositif d’interception électronique et de participation à un complot en vue de commettre plusieurs intrusions informatiques ». infractions. »
Meli aurait proposé des services de malware au moins depuis 2012 via des forums de piratage en ligne, en partageant des livres électroniques et en aidant d’autres criminels à utiliser des RAT pour mener des cyberattaques. Avant Warzone RAT, il avait vendu un autre RAT connu sous le nom de Pegasus RAT.
Comme Meli, Odinakachi a également fourni une assistance client en ligne aux acheteurs du logiciel malveillant Warzone RAT entre juin 2019 et au plus tôt en mars 2023. Les deux individus ont été arrêtés le 7 février 2024.
Warzone RAT, également connu sous le nom d’Ave Maria, était documenté pour la première fois par Yoroi en janvier 2019 dans le cadre d’une cyberattaque visant une organisation italienne du secteur pétrolier et gazier vers la fin 2018 à l’aide d’e-mails de phishing contenant de faux fichiers Microsoft Excel exploitant une faille de sécurité connue dans l’éditeur d’équation (CVE-2017-11882) .
Vendu sous le modèle malware-as-a-service (Maas) pour 38 $ par mois (ou 196 $ pour un an), il les fonctions comme un voleur d’informations et facilite le contrôle à distance, permettant ainsi aux acteurs malveillants de réquisitionner les hôtes infectés pour une exploitation ultérieure.
Certaines des fonctionnalités notables du logiciel malveillant incluent la possibilité de parcourir les systèmes de fichiers des victimes, de prendre des captures d’écran, d’enregistrer les frappes au clavier, de voler les noms d’utilisateur et les mots de passe des victimes et d’activer les webcams de l’ordinateur à l’insu ou sans le consentement de la victime.
« Les attaques Ave Maria sont lancées via des e-mails de phishing. Une fois que la charge utile déposée infecte la machine de la victime avec le malware, elle établit une communication avec le serveur de commande et de contrôle (C2) de l’attaquant sur un protocole non HTTP, après avoir déchiffré sa connexion C2 à l’aide de RC4. algorithme », Zscaler ThreatLabz dit début 2023.
Sur l’un des sites Web aujourd’hui démantelés, qui portait le slogan « À votre service loyal depuis 2018 », les développeurs du malware C/C++ l’ont décrit comme fiable et facile à utiliser. Ils ont également permis aux clients de contact les par e-mail (solmyr@warzone[.]ws), télégramme (@solwz et @sammysamwarzone), Skype (vuln.hf), ainsi que via un « Espace Client« .
Une autre voie de contact était Discord, où les utilisateurs étaient invités à entrer en contact avec un compte avec l’ID Meli#4472. Un autre compte Telegram lié à Meli était @daniel96420.
En dehors des groupes de cybercriminalité, le malware a également été utilisé par plusieurs acteurs de menaces avancées comme YoroTrooper ainsi que par ceux associés à la Russie au cours de l’année écoulée.
Le DoJ a déclaré que le Federal Bureau of Investigation (FBI) des États-Unis avait acheté secrètement des copies de Warzone RAT et confirmé ses fonctions néfastes. L’exercice coordonné a nécessité l’assistance des autorités d’Australie, du Canada, de Croatie, de Finlande, d’Allemagne, du Japon, de Malte, des Pays-Bas, du Nigeria, de Roumanie et d’Europol.