fbpx

Avemaria contre-attaque en pleine répression du FBI

Déplier le sommaire Replier le sommaire

Le Retour de WarzoneRAT sur la Scène Cybercriminelle

Malgré une opération d’envergure de la FBI visant à démanteler sa structure plus tôt dans l’année, le logiciel malveillant WarzoneRAT, connu pour être un outil d’administration à distance (RAT), refait surface.

Suite à la saisie de son infrastructure et à l’arrestation des principaux individus impliqués dans ce schéma de cybercriminalité, on pensait que la menace posée par WarzoneRAT avait été endiguée.

Toutefois, des analyses récentes de Cyble Research and Intelligence Labs (CRIL) révèlent que le logiciel malveillant, également appelé Avemaria, est toujours actif et se propage dans la nature.

WarzoneRAT Refait Surface sur le Dark Web

D’après les observations de Cyble Research & Intelligence Labs (CRIL), une nouvelle vague d’activité de WarzoneRAT est observée, notamment à travers des campagnes d’emails SPAM sur le thème de la fiscalité, piégeant les victimes avec des pièces jointes falsifiées.

(Source : Cyble)

Dans un cas, la chaîne d’attaque débute avec une pièce jointe compressée, masquant un fichier LNK nuisible déguisé en image PNG. Une fois exécuté, ce fichier LNK lance une série de commandes PowerShell qui aboutissent au déploiement de WarzoneRAT au moyen d’un processus en plusieurs étapes, utilisant VBScript et les techniques de chargement réfléchi.

À lire Groupe Akira Ransomware : Plus de 250 entreprises vidées de 42 millions de dollars

(Source : Cyble)

Un autre mécanisme constaté au cours de cette campagne implique l’usage d’une archive ZIP contenant des fichiers apparemment inoffensifs, y compris un EXE légitime, un DLL malveillant et un document PDF. L’exécution de l’EXE légitime entraîne le chargement latéral du DLL nuisible, déclenchant ainsi le processus d’infection par WarzoneRAT.

WarzoneRAT Alias Avemaria et Ses Stratégies d’Invisibilité

L’ingéniosité de ces attaques réside dans leur approche multifacette. Elles emploient des techniques d’obscurcissement, des tactiques d’évasion et l’utilisation du chargement assemblé réfléchi pour injecter le malware dans des processus légitimes comme RegSvcs.exe. En chargeant dynamiquement les charges utiles pendant l’exécution et en contournant les mécanismes de détection, les attaquants derrière WarzoneRAT font preuve d’une compréhension aiguë des vulnérabilités en cybersécurité.

(Source : Cyble)

En outre, le choix de courriels SPAM sur des thèmes fiscaux comme vecteur d’attaque témoigne des efforts des attaquants pour exploiter la confiance et l’anticipation des utilisateurs. En jouant sur des thèmes familiers, tels que les documents liés aux impôts, les acteurs de menaces augmentent les chances d’infection réussie, maximisant ainsi l’impact de leurs campagnes malveillantes.

Malgré l’intervention précédente du FBI, WarzoneRAT a su s’adapter, affinant ses tactiques et techniques pour éviter la détection et poursuivre ses activités malicieuses. En utilisant une combinaison de techniques d’obscurcissement, de tactiques d’évasion et d’ingénierie sociale thématique, les acteurs de menaces cherchent à optimiser l’efficacité de leurs attaques tout en compliquant la tâche des défenseurs pour les détecter et les contrer.

L’Ascension et la Chute de WarzoneRAT

Source : FBI

Warzone RAT a émergé en janvier 2019, s’érigeant rapidement comme un trojan d’accès à distance (RAT) de renom d’ici 2020, dissimulé sous l’apparence d’un outil d’administration IT commercial légitime. Vendu comme un service de malware (MaaS) par une personnalité en ligne du nom de Solmyr, il proposait des plans abordables à partir de 37,95 $ par mois.

Ce RAT, doté d’une intention malicieuse, fonctionne comme un voleur d’informations avancé avec des capacités de furtivité et d’anti-analyse. Néanmoins, le 9 février 2024, une opération cruciale ciblant Warzone RAT et ses opérateurs a été menée dans le cadre d’un effort international dirigé par le FBI, avec le soutien d’Europol et de la Joint Cybercrime Action Taskforce (J-CAT).

Cette opération a abouti à la saisie de domaines internet, dont http://www.warzone.ws, connu pour la vente du malware Warzone RAT. L’objectif était de perturber les activités cybercriminelles permises par le RAT, incluant l’accès non autorisé aux systèmes des victimes, l’enregistrement des frappes clavier, la capture d’écran et l’accès non autorisé aux webcams.

À lire Le groupe HelloGookie : le ransomware HelloKitty change de nom et sème la terreur

L’opération a également mené à l’arrestation de deux suspects à Malte et au Nigeria le 7 février 2024, accusés de vendre le malware et d’aider les cybercriminels dans leurs entreprises malicieuses. Malgré ces interventions, des versions piratées de Warzone RAT continuent de circuler sur les forums du darknet, accompagnées de vidéos d’instruction facilitant leur déploiement et l’administration de leurs commandes et contrôles (C2).

Warzone RAT a été impliqué dans de nombreuses campagnes d’acteurs de menaces, ciblant des entités géopolitiques comme le Centre National d’Informations (NIC) de l’Inde et étant utilisé par le groupe APT Confucius contre des institutions gouvernementales en Chine continentale et dans les pays d’Asie du Sud.

Avertissement Média : Ce rapport est basé sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont à des fins de référence uniquement, et les utilisateurs assument l’entière responsabilité de leur confiance en ces informations. Hackitude n’assume aucune responsabilité quant à l’exactitude ou aux conséquences de l’utilisation de cette information.

Rate this post

Partagez votre avis

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.