Министерство юстиции США (DoJ) в пятницу объявило о захвате онлайн-инфраструктуры, которая использовалась для продажи троянца удаленного доступа (RAT) под названием Warzone RAT.
Домены – www.warzone [.]ws и три других – "использовались для продажи компьютерного вредоносного ПО, используемого киберпреступниками для тайного доступа и кражи данных с компьютеров жертв", - сказали в Министерстве юстиции.
Наряду с ликвидацией международные правоохранительные органы арестовали и предъявили обвинения двум лицам на Мальте и в Нигерии за их участие в продаже и поддержке вредоносного ПО, а также за помощь другим киберпреступникам в использовании RAT в злонамеренных целях.
Подсудимым Дэниелу Мели (27 лет) и принцу Оньезири Одинакачи (31 год) предъявлены обвинения в несанкционированном повреждении защищенных компьютеров, причем первый также обвиняется в "незаконной продаже и рекламе устройства электронного перехвата и участии в заговоре с целью совершения нескольких преступлений, связанных с компьютерным вторжением".
Утверждается, что Meli предлагала вредоносные услуги по крайней мере с 2012 года через онлайн-хакерские форумы, делилась электронными книгами и помогала другим преступникам использовать RATs для проведения кибератак. До Warzone RAT он продал другую КРЫСУ, известную как Pegasus RAT.
Как и Meli, Odinakachi также оказывала онлайн-поддержку покупателям вредоносного ПО Warzone RAT в период с июня 2019 года и не ранее марта 2023 года. Оба человека были арестованы 7 февраля 2024 года.
Warzone RAT, также известная как Ave Maria, была впервые задокументирована Yoroi в январе 2019 года в рамках кибератаки на итальянскую организацию нефтегазового сектора ближе к концу 2018 года с использованием фишинговых электронных писем, содержащих поддельные файлы Microsoft Excel, использующих известную брешь в системе безопасности редактора уравнений (CVE-2017-11882).
Продаваемый по модели malware-as-a-service (Maas) за 38 долларов в месяц (или 196 долларов в год), он функционирует как похититель информации и облегчает удаленный контроль, тем самым позволяя субъектам угрозы присваивать зараженные хосты для последующей эксплуатации.
Некоторые из примечательных особенностей вредоносного ПО включают возможность просматривать файловые системы жертвы, делать скриншоты, записывать нажатия клавиш, красть имена пользователей и пароли жертвы и активировать веб-камеры компьютера без ведома или согласия жертвы.
"Атаки Ave Maria инициируются с помощью фишинговых электронных писем, как только сброшенная полезная нагрузка заражает компьютер жертвы вредоносным ПО, оно устанавливает связь с сервером командования и управления (C2) злоумышленника по протоколу, отличному от HTTP, после расшифровки его соединения C2 с использованием алгоритма RC4", - сказал Zscaler ThreatLabZ в начале 2023 года.
На одном из ныне демонтированных веб-сайтов, на котором был слоган "Преданно служу вам с 2018 года", разработчики вредоносного ПО C / C ++ описали его как надежное и простое в использовании. Они также предоставили клиентам возможность связываться с ними по электронной почте (solmyr@warzone[.]ws), Telegram (@solwz и @sammysamwarzone), Skype (vuln.hf), а также через специальный "клиентский кабинет".
Дополнительным способом связи был Discord, где пользователей попросили войти в контакт с учетной записью с идентификатором Meli # 4472. Другой аккаунт Telegram, связанный с Meli, был @daniel96420.
За исключением групп киберпреступности, вредоносное ПО также использовалось несколькими продвинутыми участниками угроз, такими как YoroTrooper, а также теми, кто связан с Россией за последний год.
Министерство юстиции заявило, что Федеральное бюро расследований США (ФБР) тайно приобрело копии Warzone RAT и подтвердило его гнусные функции. В скоординированных учениях участвовала помощь властей Австралии, Канады, Хорватии, Финляндии, Германии, Японии, Мальты, Нидерландов, Нигерии, Румынии и Европола.
