WarzoneRAT Reativa Operações com Estratégia de Ataques Multietapa
1 de Abril de 2024

O WarzoneRAT, um notável trojan de acesso remoto (RAT), retornou apesar dos esforços do FBI de neutralizar suas atividades no início deste ano.

Após interromper a infraestrutura do trojan e capturar membros essenciais do grupo criminoso por trás dele, acredita-se que a polícia federal dos EUA havia desmantelado a operação do malware.

Contudo, levantamentos recentes realizados pelo Cyble Research and Intelligence Labs (CRIL) apontam o oposto, identificando novas ocorrências do WarzoneRAT, também conhecido como Avemaria.

Segundo o CRIL, o ressurgimento do WarzoneRAT está associado ao envio de e-mails de spam com temáticas fiscais, visando enganar vítimas desavisadas com anexos habilmente camuflados.

Em um dos casos documentados, o ataque se inicia com um anexo compactado, escondendo um arquivo LNK mal-intencionado camuflado como uma imagem PNG.

Ao ser executado, esse arquivo LNK desencadeia uma sequência de comandos do PowerShell, resultando na instalação do WarzoneRAT por meio de um processo multi-etapas que utiliza técnicas de carregamento VBScript e reflexivo.

Uma outra tática observada envolve um arquivo ZIP que, superficialmente, contém arquivos inofensivos, incluindo um EXE legítimo, uma DLL maliciosa e um documento PDF.

Quando o EXE legítimo é executado, o malware realiza sideload de DLL para ativar a DLL maliciosa, dando início ao processo de infecção.

A complexidade desses ataques está em sua abordagem multifacetada, englobando técnicas de ofuscação, táticas de evasão e o uso de carregamento reflexivo de assembly para injetar o malware em processos legítimos, como no RegSvcs.exe.

Esse método de carregar dinamicamente as payloads durante a execução e esquivar-se dos mecanismos de detecção evidencia a sofisticação dos autores do WarzoneRAT em explorar vulnerabilidades de cibersegurança.

Ademais, a estratégia de utilizar e-mails de spam focados em questões fiscais para disseminar o trojan sublinha a habilidade dos atacantes em explorar a confiança e a expectativa dos usuários.

Ao se valer de temas comuns, como documentos fiscais, os agentes de ameaça conseguem aumentar as chances de infecções bem-sucedidas, intensificando o impacto de suas campanhas maliciosas.

Apesar da ação do FBI, o WarzoneRAT mostrou-se resistente, adaptando suas táticas e técnicas para escapar da detecção e prosseguir com suas atividades ilícitas.

Através da combinação de técnicas de ofuscação, táticas de evasão e engenharia social temática, os operadores desse trojan buscam ampliar a eficácia de seus ataques enquanto dificultam os esforços de defesa contrária.

O Warzone RAT foi inicialmente identificado em janeiro de 2019 como um trojan de acesso remoto, alcançando rápida notoriedade como uma das principais variantes de malware em 2020.

Disfarçado de uma ferramenta legítima de administração de TI, foi comercializado como um malware-as-a-service (MaaS) por um usuário chamado Solmyr, com planos disponíveis a partir de US$ 37,95 mensais.

Contudo, no início de fevereiro deste ano, uma operação internacional liderada pelo FBI, com suporte da Europol e do Grupo de Ação Conjunta Contra o Cibercrime (J-CAT), resultou na apreensão de domínios associados ao Warzone RAT e na prisão de dois suspeitos em Malta e na Nigéria, acusados de comercializar o malware e auxiliar cibercriminosos.

Apesar dessas medidas, versões pirateadas do Warzone RAT continuam a ser difundidas em fóruns da darknet, acompanhadas de vídeos tutoriais que explicam sua instalação e gerenciamento de comando e controle (C&C).

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...