# Warzone RAT (Ave Maria) > [!medium] RAT Comercial Apreendido pelo FBI - MaaS > Warzone RAT (também conhecido como Ave Maria) foi um Remote Access Trojan vendido como Malware-as-a-Service por Daniel Meli de Malta por US$38/mês, com mais de 7.000 usuários registrados. Oferecia acesso remoto completo, rootkit, keylogger e webcam. A infraestrutura foi apreendida pelo FBI em fevereiro de 2024 e dois criadores/distribuidores foram presos. ## Visão Geral Warzone RAT, comercializado como Ave Maria e vendido sob o modelo MaaS (Malware-as-a-Service), foi um dos trojans de acesso remoto mais populares do mercado criminoso entre 2019 e 2024. Desenvolvido e operado por Daniel Meli, cidadão de Malta, o malware era vendido em fóruns criminosos por planos mensais a partir de US$38, com suporte técnico incluso e painel de administração web. O malware ficou associado a grupos como [[aggah-group]] (ator de ameaça de motivação financeira com foco em LATAM e Oriente Médio) e múltiplos atores de ameaça de menor sophisticação que utilizavam a plataforma MaaS para operações de espionagem e fraude. A natureza de serviço tornava a atribuição difícil, pois o mesmo malware era operado por dezenas ou centenas de grupos diferentes simultaneamente. Em 7 de fevereiro de 2024, o FBI apreendeu os domínios `warzoneRAT.com` e `warzone.ws`, desativando a infraestrutura central do MaaS. Daniel Meli foi preso em Malta no mesmo dia. Prince Odinakachi Nwamadu, co-distribuidor nigeriano, foi preso separadamente. Ambos foram indiciados nos EUA por fraude eletrônica e distribuição de malware. ## Como Funciona **Arquitetura técnica:** - Implementado em C++ com ofuscação via XOR (chave 0x45) aplicada às strings - Rootkit integrado para ocultação de processos, arquivos e chaves de registro - Comúnicação C2 via TCP com protocolo proprietário criptografado com RC4 - Painel de administração web para gerenciamento de vítimas (múltiplas em paralelo) **Capacidades principais:** - Hidden RDP (HRDP): acesso ao desktop sem criar nova sessão visível - Keylogger: captura de todas as teclas pressionadas com contexto de janela - Webcam: acesso à câmera sem acender o LED indicador - Download/upload de arquivos - Execução remota de comandos e scripts - Roubo de senhas de navegadores e clientes de email - Bypass de UAC via técnica IFileOperation (sem prompt visível) **Mecanismos de evasão:** - XOR 0x45 em strings para evitar detecção por assinatura simples - Rootkit para ocultar processo e arquivos do malware no sistema - Técnica de processo hollow (Process Hollowing) para injeção em processos legítimos - Anti-análise: detecta VMs, sandboxes e ferramentas de debug ## Attack Flow ```mermaid graph TB A["📧 E-mail Phishing<br/>Aggah Group envia<br/>documento Office"] --> B["📄 Documento Malicioso<br/>Macro VBA ou<br/>exploit CVE"] B --> C["⬇️ Download Warzone<br/>Payload do C2<br/>via PowerShell"] C --> D["🔓 Bypass UAC<br/>IFileOperation<br/>sem prompt"] D --> E["🛡️ Rootkit<br/>Oculta processo<br/>arquivos e registro"] E --> F["🖥️ HRDP Ativo<br/>Acesso ao desktop<br/>sessão oculta"] F --> G["🔑 Coleta de Dados<br/>Keylogger, senhas<br/>webcam, arquivos"] G --> H["📡 C2 RC4<br/>Exfiltração via<br/>TCP criptografado"] ``` **Legenda:** [[aggah-group]] · [[t1014-rootkit|T1014]] · [[t1056-001-keylogging|T1056.001]] · [[t1125-video-capture|T1125]] ## Timeline ```mermaid timeline title Warzone RAT - Linha do Tempo 2018-10 : Lançamento inicial : Warzone RAT no mercado : Daniel Meli como desenvolvedor 2019 : Adoção em massa : Aggah Group e outros atores : Campanhas contra LATAM e ME 2021-2022 : Pico de popularidade : 7000 usuarios registrados : US$38/mes plano básico 2022-2023 : FBI investiga : DOJ prepara acusações : Infraestrutura rastreada 2024-02-07 : Apreensão pelo FBI : warzonerat.com apreendido : Daniel Meli preso em Malta : Prince Nwamadu preso ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via shell remoto | | Deobfuscate/Decode Files | [[t1140-deobfuscate-decode-files\|T1140]] | XOR 0x45 em strings do malware | | Rootkit | [[t1014-rootkit\|T1014]] | Ocultação de processo, arquivos e registro | | Hidden Files and Directories | [[t1564-001-hidden-files-and-directories\|T1564.001]] | Arquivos ocultos no sistema | | Bypass UAC | [[t1548-002-bypass-uac\|T1548.002]] | IFileOperation para escalada sem prompt | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas com contexto de janela | | Video Capture | [[t1125-video-capture\|T1125]] | Acesso à webcam sem LED indicador | ## Relevância para o Brasil e LATAM > [!latam] Campanhas com Tema Fiscal Brasileiro como Vetor > O **Aggah Group** usou Warzone RAT contra o setor **financeiro** e agronegócio brasileiro em 2020-2022. Iscas de spear-phishing com temas como **NF-e**, **SEFAZ** e boletos foram adaptadas ao contexto brasileiro. O **CERT.br** rastreou variantes do Ave Maria em campanhas contra organizações nacionais, e o modelo MaaS por US$38/mês viabilizou uso por atores criminosos locais de baixa sofisticação. O Warzone RAT teve uso documentado significativo contra organizações brasileiras e latino-americanas: **Atividade do Aggah Group na LATAM:** - O [[aggah-group]] utilizou Warzone RAT em campanhas direcionadas ao setor [[financial|financeiro]] brasileiro em 2020-2022 - Empresas de manufatura, commodities e agronegócio no Brasil foram alvos das campanhas do Aggah - O modelo MaaS permitia que grupos criminosos locais adquirissem e operassem o Warzone RAT contra alvos regionais sem expertise técnica avançada **Impacto documentado:** - Campanhas de spear-phishing com temas fiscais brasileiros (NF-e, SEFAZ) foram vetores de entrega do Warzone RAT - Organizações do setor de [[energy|energia]] e [[technology|tecnologia]] no Brasil foram comprometidas por operadores do MaaS - O CERT.br rastreou variantes do Ave Maria em campanhas dirigidas a organizações brasileiras ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Warzone RAT (TLP:GREEN) > **Hashes conhecidos:** > Consultar [ANY.RUN Warzone samples](https://any.run/malware-trends/warzonerat) > > **Padrão de rede:** > Conexões TCP persistentes para IPs externos em porta alta (>1024) > Heartbeat periódico com RC4 encriptado > > **Comportamento:** > HRDP ativo em sistemas Windows (conexão RDP sem nova sessão) > Processo oculto por rootkit > > **Infraestrutura apreendida:** > `warzoneRAT.com` e `warzone.ws` (apreendidos em fev/2024) > > **Fonte:** [FBI Operation Warzone](https://www.justice.gov) · [ANY.RUN Analysis](https://any.run) **Mitigações:** - Monitorar conexões TCP persistentes de saída para portas altas suspeitas - Implementar detecção de HRDP via monitoramento de sessões RDP ocultas - Bloquear macros de Office em documentos de fontes externas via Group Policy - Monitorar tentativas de bypass de UAC via IFileOperation no registro de eventos ## Referências - [1](https://www.justice.gov/usao-sdfl/pr/federal-authorities-seize-warzonerats-infrastructure-and-arrest-two-individuals) DOJ - Warzone RAT Takedown: Two Arrested, Infrastructure Seized (2024) - [2](https://any.run/malware-trends/warzonerat) ANY.RUN - Warzone RAT Malware Trend Analysis - [3](https://attack.mitre.org/software/S0670/) MITRE ATT&CK - Warzone RAT S0670 - [4](https://www.bleepingcomputer.com/news/security/fbi-seizes-warzonerat-malware-infrastructure-arrests-two/) BleepingComputer - FBI Seizes WarzoneRAT Infrastructure, Arrests Two (2024) - [5](https://www.proofpoint.com/us/threat-reference/ave-maria) Proofpoint - Ave Maria/Warzone RAT Threat Reference - [6](https://blog.talosintelligence.com/warzone-rat-analysis/) Cisco Talos - Warzone RAT Technical Deep Dive (2023)