Das US-Justizministerium (DoJ) hat am Freitag die Beschlagnahmung der Online-Infrastruktur bekannt gegeben, die dazu verwendet wurde, einen Remote Access Trojaner (RAT) namens Warzone RAT zu verkaufen.
Die Domains – www.warzone[.]ws und drei andere – wurden „verwendet, um Computer-Malware zu verkaufen, mit der Cyberkriminelle heimlich auf Computer zugreifen und Daten von Opfern stehlen können“, so das DoJ.
Neben der Abschaltung wurden im Rahmen einer internationalen Strafverfolgungsmaßnahme zwei Personen in Malta und Nigeria verhaftet und angeklagt, weil sie die Malware verkauft und unterstützt und anderen Cyberkriminellen geholfen haben, den RAT für bösartige Zwecke zu nutzen.
Die Angeklagten Daniel Meli (27) und Prince Onyeoziri Odinakachi (31) werden beschuldigt, unbefugt geschützte Computer beschädigt zu haben, wobei der erstere auch beschuldigt wird, „illegal ein elektronisches Abhörgerät zu verkaufen und zu bewerben und an einer Verschwörung zur Begehung mehrerer Computer-Eindringdelikte beteiligt zu sein“.
Meli soll seit mindestens 2012 über Online-Hacking-Foren, das Teilen von E-Books und die Unterstützung anderer Krimineller bei der Durchführung von Cyberangriffen RAT-Dienste angeboten haben. Vor dem Warzone RAT hatte er einen anderen RAT namens Pegasus RAT verkauft.
Ähnlich wie Meli hat auch Odinakachi zwischen Juni 2019 und spätestens März 2023 Kunden-Support für Käufer der Warzone RAT-Malware geleistet. Beide Personen wurden am 7. Februar 2024 verhaftet.
Warzone RAT, auch bekannt als Ave Maria, wurde erstmals im Januar 2019 von Yoroi dokumentiert und war Teil eines Cyberangriffs auf eine italienische Organisation im Öl- und Gassektor gegen Ende 2018 unter Verwendung von Phishing-E-Mails mit gefälschten Microsoft Excel-Dateien, die eine bekannte Sicherheitslücke in der Equation Editor (CVE-2017-11882) ausnutzen.
Unter dem Malware-as-a-Service-Modell (MaaS) wurde es für 38 US-Dollar pro Monat (oder 196 US-Dollar pro Jahr) verkauft und fungiert als Stealer von Informationen und erleichtert die Remote-Kontrolle, was es Angreifern ermöglicht, die infizierten Hosts für weitere Exploits zu übernehmen.
Einige bemerkenswerte Funktionen der Malware sind die Möglichkeit, im Dateisystem des Opfers zu browsen, Screenshots zu machen, Tastatureingaben aufzuzeichnen, Benutzernamen und Passwörter des Opfers zu stehlen und die Webcam des Computers ohne Wissen oder Zustimmung des Opfers zu aktivieren.
„Initiiert werden Ave Maria-Angriffe über Phishing-E-Mails. Sobald das auf den Computer des Opfers heruntergeladene Schadprogramm die Maschine infiziert hat, stellt es eine Verbindung mit dem Command-and-Control (C2) Server des Angreifers her, und zwar über ein nicht-HTTP-Protokoll, nachdem es die C2-Verbindung mit dem RC4-Algorithmus entschlüsselt hat“, sagt Zscaler ThreatLabz Anfang 2023.
Auf einer der jetzt stillgelegten Websites, die den Slogan „Serving you loyally since 2018“ hatte, beschrieben die Entwickler der C/C++-Malware diese als zuverlässig und einfach zu bedienen. Sie boten auch die Möglichkeit, per E-Mail (solmyr@warzone[.]ws), Telegram (@solwz und @sammysamwarzone), Skype (vuln.hf) und über einen dedizierten „Kundenbereich“ Kontakt aufzunehmen.
Eine weitere Kontaktmöglichkeit war Discord, wo die Benutzer aufgefordert wurden, sich mit dem Konto Meli#4472 in Verbindung zu setzen. Ein weiteres Telegramm-Konto, das mit Meli verknüpft war, hieß @daniel96420.
Abgesehen von Cybercrime-Gruppen wurde die Malware im vergangenen Jahr auch von mehreren fortgeschrittenen Bedrohungsakteuren wie YoroTrooper sowie solchen, die mit Russland in Verbindung stehen, eingesetzt.
Das DoJ sagte, dass das US-Bundeskriminalamt (FBI) heimlich Kopien des Warzone RAT gekauft und dessen schädliche Funktionen bestätigt habe. Die koordinierte Maßnahme wurde mit Unterstützung von Behörden in Australien, Kanada, Kroatien, Finnland, Deutschland, Japan, Malta, den Niederlanden, Nigeria, Rumänien und Europol durchgeführt.