O que acabou de acontecer? O Gabinete do Procurador dos EUA, Distrito Central da Califórnia, anunciou recentemente a apreensão do domínio da Web WorldWiredLabs e da infra-estrutura de suporte. A operação, que foi coordenada em vários países e organizações de aplicação da lei, interrompeu a distribuição do trojan de acesso remoto NetWire (RAT). O malware foi disfarçado e comercializado como uma ferramenta de administração legítima usada por agentes mal-intencionados para obter acesso não autorizado aos sistemas visados.
O esforço bem-sucedido para encurralar o RAT segue vários anos de investigação, observação e planejamento por agências de aplicação da lei em todo o mundo. As autoridades federais de Los Angeles exerceram um mandado para apreender o domínio da web worldwiredlabs.com, que foi usado para vender e distribuir o malware NetWire. Além da apreensão, as autoridades prenderam um cidadão croata identificado como o administrador do site. O site agora apreendido indica um esforço coordenado entre autoridades americanas, croatas, suíças, australianas e outras afiliadas à Europol.
Pego! Um coordenado #aplicação da lei ação ðÂÂð·ð¨ðÂÂð¦ðºðºð¸ derrubou o #Netwire Infraestrutura Trojan de acesso remoto.
�” Principal suspeito preso.#Netwire é um RAT de mercadoria licenciada oferecido em fóruns clandestinos a usuários não técnicos para realizar suas próprias atividades criminosas.
— EC3 (@EC3Europol) 10 de março de 2023
A investigação inicial do FBI começou em 2020, quando os investigadores compraram uma cópia do malware suspeito e a entregaram para análise posterior. De acordo com o resumo da causa provável do mandado, os investigadores do FBI conseguiram acessar o site com sucesso, pagar por um plano de assinatura e baixar o pacote NetWire RAT para uso. Depois de adquirido, um cientista da computação do FBI usou a ferramenta de criação do NetWire para configurar uma instância para testar os recursos do malware em uma máquina de teste especificada. Em nenhum momento a NetWire tentou verificar se aqueles que analisavam o software realmente tinham acesso à máquina visada.
Uma vez configurado, o cientista da computação do FBI confirmou que o software permitia que os usuários do NetWire acessassem arquivos, fechassem aplicativos, recuperassem informações de autenticação, rastreassem as teclas digitadas, executassem comandos e fizessem capturas de tela, tudo sem alertar o usuário-alvo. Esses recursos, comportamentos e falta de notificação, que são cartões de visita de um ataque RAT tradicional, são todos projetados para atrair agentes mal-intencionados com a intenção de tirar proveito de outros usuários desavisados.
Há várias maneiras pelas quais as organizações e os usuários podem ajudar a evitar que sejam vítimas de RATs e outros ataques de engenharia social. Um artigo anterior da INFOSEC descreve em detalhes como o NetWire funcionou e fornece dicas para usuários e organizações se defenderem contra esses tipos de ataques. Esses incluem:
- Treinando os usuários para estarem cientes de possíveis esquemas de phishing e como lidar com eles
- Tomar conhecimento de e-mails de remetentes ou fontes desconhecidas e com anexos suspeitos
- Verificar fontes por meios alternativos antes de abrir ou baixar conteúdo
- Usando anti-malware, antivírus ou outro software de proteção de endpoint
- Manter todos os softwares e arquivos do sistema operacional atualizados
Donald Always, diretor assistente encarregado do escritório de campo do FBI em Los Angeles, destacou a importância da remoção do malware NetWire. “Ao remover o NetWire RAT, o FBI impactou o ecossistema cibernético do crime.” As declarações de Always também destacaram o fato de que “… a parceria global que levou à prisão na Croácia também removeu uma ferramenta popular usada para sequestrar computadores para perpetuar fraudes globais, violações de dados e invasões de rede por grupos de ameaças e criminosos cibernéticos.”
