In seguito ad un’azione coordinata di FBI, Europol e polizia croata, australiana e svizzera è stata smantellata l’infrastruttura di NetWire, un RAT (Remote Access Trojan) pubblicizzato come tool legittimo di amministrazione. È stato sequestrato il dominio e arrestato un cittadino croato che gestiva il sito www.worldwiredlabs.com
.
NetWire: RAT attivo da oltre 10 anni
La catena di infezione di NetWire è nota da circa due anni. L’attacco inizia con l’invio di un’email con un link che punta ad un sito che ospita un documento Word. Al suo interno c’è una macro che scarica ed esegue GuLoader. Quest’ultimo crea la persistenza (avvio automatico) e scarica il RAT.
NetWire, venduto sul sito sequestrato come tool di amministrazione remota (prezzo base 10 dollari/mese), permetteva di rubare file, eseguire comandi, scattare screenshot, registrare i tasti premuti e forzare la chiusura delle applicazioni.
Il mandato di sequestro del dominio www.worldwiredlabs.com
è stato emesso il 3 marzo ed eseguito lo scorso giovedì dall’FBI. La polizia svizzera ha invece sequestrato il server che ospitava il sito.
La polizia croata ha arrestato un cittadino sospettato di essere l’amministratore del sito. Nel comunicato stampa non viene indicato il nome. Dopo un’approfondita ricerca, l’esperto di sicurezza Brian Krebs ha scoperto che il proprietario del sito è Mario Zanko, un ingegnere elettrico di 39 anni.