# WarzoneRAT > Tipo: **malware** · S0670 · [MITRE ATT&CK](https://attack.mitre.org/software/S0670) ## Descrição [[s0670-warzonerat|WarzoneRAT]] (também conhecido como Ave Maria) é uma ferramenta de acesso remoto (RAT) do modelo malware-as-a-service (MaaS), escrita em C++, disponível para compra em fóruns clandestinos desde pelo menos o final de 2018. O modelo comercial do WarzoneRAT o torna acessível a uma ampla gama de atores de ameaça, desde grupos APT como o [[g0142-confucius|Confucius]] até grupos de crimes cibernéticos como o [[g1018-ta2541|TA2541]] e o [[g1015-scattered-spider|Scattered Spider]]. O WarzoneRAT oferece um conjunto abrangente de capacidades de comprometimento: keylogging, roubo de credenciais de navegadores, acesso remoto via RDP, bypass de UAC para escalada de privilégios, desativação de ferramentas de segurança, e comúnicações C2 criptografadas. A interface gráfica de gerenciamento incluída no pacote MaaS facilita seu uso mesmo por operadores com menor sofisticação técnica. Em 2024, o FBI desarticulou a infraestrutura de venda do WarzoneRAT e prendeu seus operadores, mas variantes continuam circulando. O amplo leque de grupos que utilizam o WarzoneRAT - de espionagem estatal (Confucius) a crime organizado (TA2541) a grupos de engenharia social (Scattered Spider) - ilustra como o modelo MaaS democratiza o acesso a ferramentas ofensivas avançadas, tornando-as disponíveis a qualquer ator disposto a pagar. Esta democratização aumenta significativamente o volume total de ameaças que organizações precisam gerenciar. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1090-proxy|T1090 - Proxy]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] ## Grupos que Usam - [[g1018-ta2541|TA2541]] - [[g1015-scattered-spider|Scattered Spider]] - [[g0142-confucius|Confucius]] ## Detecção A detecção do WarzoneRAT deve focar em comportamentos de keylogging (hooking de SetWindowsHookEx), acesso a stores de credenciais de navegadores, tentativas de bypass de UAC e desativação de ferramentas de segurança. Monitorar conexões RDP iniciadas por processos incomuns e comúnicações C2 em padrões de beacon regulares são também indicadores relevantes. O FBI públicou IoCs e assinaturas de detecção específicas para o WarzoneRAT após a operação de desarticulação de 2024. ## Relevância LATAM/Brasil O WarzoneRAT como produto MaaS está disponível a qualquer ator disposto a pagar, incluindo grupos de crime cibernético que operam na América Latina. O Brasil, com alta atividade de crime cibernético financeiro, é um ambiente propício para a proliferação de RATs MaaS como o WarzoneRAT. Campanhas de distribuição via phishing em português já foram documentadas distribuindo malware da família Ave Maria/WarzoneRAT. Organizações brasileiras devem incluir indicadores de comprometimento do WarzoneRAT em seus sistemas de detecção de ameaças. ## Referências - [MITRE ATT&CK - S0670](https://attack.mitre.org/software/S0670)