pixabay rat 4075128 640

WarzoneRAT retoma operações com ataques em vários estágios

Da Redação
28/03/2024

O WarzoneRAT, notório trojan de acesso remoto (RAT), voltou apesar dos esforços do FBI para desmantelar suas operações no início deste ano. Depois de interromper sua infraestrutura e prender membros importantes do grupo de crime cibernético, a polícia federal americana acreditou ter desmantelado a operação do malware.

No entanto, rastreamentos recentes feitos pelo Cyble Research and Intelligence Labs (CRIL) sugerem o contrário, já que novas instâncias do WarzoneRAT, também conhecido como Avemaria, foram identificadas. De acordo com o CRIL, a última onda de atividades do WarzoneRAT parece estar ligada a spam com tema fiscal, explorando vítimas inocentes com anexos astuciosamente disfarçados.

Em um dos casos, a cadeia de ataque começa com um anexo compactado, que oculta um arquivo LNK malicioso disfarçado de imagem PNG. Uma vez executado, esse arquivo LNK aciona uma série de comandos do PowerShell, levando à implantação do WarzoneRAT por meio de um processo de vários estágios que envolve técnicas de carregamento VBScript e reflexivo.

Outro método observado na campanha envolve o uso de um arquivo ZIP contendo arquivos aparentemente inofensivos, incluindo um EXE legítimo, uma DLL maliciosa e um documento PDF. Após a execução do EXE legítimo, o malware emprega sideload de DLL para carregar a DLL maliciosa, iniciando assim o processo de infecção.

A sofisticação desses ataques reside em sua abordagem multifacetada, que inclui técnicas de ofuscação, táticas de evasão e a utilização de carregamento reflexivo de assembly para injetar malware em processos legítimos, como RegSvcs.exe. Ao carregar cargas úteis dinamicamente durante o tempo de execução e evitar mecanismos de detecção, os invasores por trás do WarzoneRAT demonstram uma compreensão aprofundada das vulnerabilidades de segurança cibernética.

Além disso, a escolha de e-mails de spam com temática fiscal como mecanismo de descarte do trojan destaca os esforços dos atacantes para explorar a confiança e a antecipação dos usuários. Ao aproveitar temas familiares, como documentos fiscais, os agentes de ameaças aumentam a probabilidade de infecções bem-sucedidas, maximizando assim o impacto das suas campanhas maliciosas.

Apesar da intervenção anterior do FBI, WarzoneRAT provou ser inflexível, adaptando as suas tácticas e técnicas para evitar a detecção e continuar as suas atividades maliciosas. Ao empregar uma combinação de técnicas de ofuscação, táticas de evasão e engenharia social temática, os operadores da ameaça visam maximizar a eficácia dos seus ataques, ao mesmo tempo que complicam os esforços dos defensores para os detetar e mitigar.

Warzone RAT surgiu pela primeira vez como um  trojan de acesso remoto (RAT) em janeiro de 2019, ganhando rapidamente notoriedade como uma das principais variantes de malware em 2020. Operando sob o disfarce de uma ferramenta comercial legítima de administração de TI, foi vendido como um malware-as-a-service (MaaS) por uma pessoa online chamada Solmyr, oferecendo planos acessíveis a partir de US$ 37,95 por mês.

Veja isso
Novo RAT explora bloco de notas online para armazenar malware
RATs se espalham por meio apps falsos do Skype, Zoom e Meet

No entanto, no início de fevereiro deste ano, uma operação internacional liderada pelo FBI, com o apoio da Europol e do Grupo de Trabalho Conjunto de Ação contra o Cibercrime (J-CAT), resultou na apreensão de domínios da internet do Warzone RAT, incluindo http://www.warzone.ws, conhecido por vender o malware.

A repressão também levou à prisão de dois suspeitos em Malta e na Nigéria, em 7 de fevereiro, acusados de vender o malware e ajudar cibercriminosos em seus esforços maliciosos. Apesar dessas intervenções, versões crackeadas do Warzone RAT continuam a circular em fóruns da darknet, complementadas por vídeos instrutivos que facilitam sua implantação e administração de comando e controle (C&C).

Acesse o relatório  do Cyble Research and Intelligence Labs sobre o retorno do Warzone RAT (em inglês) clicando aqui.

Compartilhar: