Qu’est-ce qui vient de se passer? Le bureau du procureur des États-Unis, district central de Californie, a récemment annoncé la saisie du domaine Web WorldWiredLabs et de l’infrastructure de soutien. L’opération, qui a été coordonnée dans plusieurs pays et organismes chargés de l’application de la loi, a stoppé la distribution du cheval de Troie d’accès à distance NetWire (RAT). Le logiciel malveillant était déguisé et commercialisé comme un outil de gestion légitime utilisé par des acteurs malveillants pour obtenir un accès non autorisé aux systèmes ciblés.
L’effort réussi pour coincer le RAT fait suite à plusieurs années d’enquête, d’observation et de planification par les forces de l’ordre du monde entier. Les autorités fédérales de Los Angeles ont émis un mandat de saisie worldwiredlabs.com un domaine Web utilisé pour vendre et distribuer le logiciel malveillant NetWire. En plus de la saisie, les autorités ont détenu un Ressortissant croate qui a été désigné comme administrateur du site. Maintenant confisqué Site Internet désigne un effort coordonné entre les autorités des États-Unis, de la Croatie, de la Suisse, de l’Australie et d’autres autorités affiliées à Europol.
Arrêté! Et coordonné #forces de l’ordre action ðÂÂð·ð¨ðÂÂð¦ðºðºð¸ annulée #Netwire Infrastructure de cheval de Troie d’accès à distance.
« Le principal suspect arrêté.#Netwire est un RAT de base sous licence proposé sur des forums clandestins à des utilisateurs non techniques pour mener leurs propres activités criminelles.
— EC3 (@EC3Europol) 10 mars 2023
L’enquête initiale du FBI a commencé en 2020, lorsque les enquêteurs ont acheté une copie du logiciel malveillant suspecté et l’ont soumise pour une analyse plus approfondie. Selon commandeDans le résumé des causes probables, les enquêteurs du FBI ont réussi à accéder au site, à payer l’abonnement et à télécharger le package NetWire RAT à utiliser. Après l’acquisition, un informaticien du FBI a utilisé l’outil NetWire pour créer des configurations d’instance afin de tester les capacités du logiciel malveillant sur une machine de test spécifiée. À aucun moment, NetWire n’a tenté de vérifier que ceux qui analysaient le logiciel avaient effectivement accès à l’ordinateur cible.
Une fois configuré, un informaticien du FBI a confirmé que le logiciel permet aux utilisateurs de NetWire d’accéder aux fichiers, de fermer les applications, d’obtenir des informations d’authentification, de suivre les frappes, d’exécuter des commandes et de prendre des captures d’écran, le tout à l’insu de l’utilisateur cible. Ces capacités, comportements et absence d’avertissement, caractéristiques d’une attaque RAT traditionnelle, sont tous conçus pour attirer des acteurs malveillants désireux de profiter d’autres utilisateurs sans méfiance.
(intégré)https://www.youtube.com/watch?v=-nHSFUwGgEU(/embed)
Les organisations et les utilisateurs peuvent éviter d’être victimes de RAT et d’autres attaques d’ingénierie sociale de plusieurs façons. Article plus ancien de INFOSEC détaille le fonctionnement de NetWire et fournit des conseils aux utilisateurs et aux organisations pour se défendre contre ces types d’attaques. Ceux-ci inclus:
- Former les utilisateurs à être conscients des stratagèmes de phishing potentiels et à les gérer
- Prendre connaissance des e-mails provenant d’expéditeurs ou de sources inconnus et contenant des pièces jointes suspectes
- Vérification des sources par d’autres moyens avant d’ouvrir ou de télécharger du contenu
- Utilisation d’un anti-malware, d’un antivirus ou d’un autre logiciel de protection des terminaux
- Maintenir à jour tous les fichiers du logiciel et du système d’exploitation
Donald Alway, directeur adjoint en charge du bureau extérieur du FBI à Los Angeles, a souligné l’importance de supprimer le logiciel malveillant NetWire. “En supprimant le NetWire RAT, le FBI a frappé le cyber-écosystème criminel.” La déclaration d’Alwayo a également souligné le fait que “… le partenariat mondial qui a conduit aux arrestations en Croatie a également supprimé un outil populaire utilisé pour détourner des ordinateurs afin de soutenir la fraude mondiale, les violations de données et les intrusions dans le réseau par des groupes de menaces et des cybercriminels”.
