NetWire: sequestrato il sito e arrestato l'admin

NetWire: sequestrato il sito e arrestato l'admin

Un'azione coordinata tra varie forze dell'ordine ha permesso di sequestrare il sito che vendeva il RAT NetWire e di arrestare l'amministratore.
NetWire: sequestrato il sito e arrestato l'admin
Un'azione coordinata tra varie forze dell'ordine ha permesso di sequestrare il sito che vendeva il RAT NetWire e di arrestare l'amministratore.

In seguito ad un’azione coordinata di FBI, Europol e polizia croata, australiana e svizzera è stata smantellata l’infrastruttura di NetWire, un RAT (Remote Access Trojan) pubblicizzato come tool legittimo di amministrazione. È stato sequestrato il dominio e arrestato un cittadino croato che gestiva il sito www.worldwiredlabs.com.

NetWire: RAT attivo da oltre 10 anni

La catena di infezione di NetWire è nota da circa due anni. L’attacco inizia con l’invio di un’email con un link che punta ad un sito che ospita un documento Word. Al suo interno c’è una macro che scarica ed esegue GuLoader. Quest’ultimo crea la persistenza (avvio automatico) e scarica il RAT.

NetWire, venduto sul sito sequestrato come tool di amministrazione remota (prezzo base 10 dollari/mese), permetteva di rubare file, eseguire comandi, scattare screenshot, registrare i tasti premuti e forzare la chiusura delle applicazioni.

NetWire - sito chiuso

Il mandato di sequestro del dominio www.worldwiredlabs.com è stato emesso il 3 marzo ed eseguito lo scorso giovedì dall’FBI. La polizia svizzera ha invece sequestrato il server che ospitava il sito.

La polizia croata ha arrestato un cittadino sospettato di essere l’amministratore del sito. Nel comunicato stampa non viene indicato il nome. Dopo un’approfondita ricerca, l’esperto di sicurezza Brian Krebs ha scoperto che il proprietario del sito è Mario Zanko, un ingegnere elettrico di 39 anni.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
11 mar 2023
Link copiato negli appunti