Un ejercicio coordinado de aplicación de la ley internacional ha desmantelado la infraestructura en línea asociada con un troyano de acceso remoto (RAT) multiplataforma conocido como NetWire.
Coincidiendo con la incautación del sitio web de ventas worldwiredlabs, un ciudadano croata sospechoso de ser el administrador del sitio web ha sido arrestado. Si bien el nombre del sospechoso no fue revelado, el periodista de investigación Brian Krebs identificó a Mario Zanko como el propietario del dominio.
“NetWire es un RAT de productos básicos con licencia que se ofrece en foros clandestinos a usuarios no técnicos para llevar a cabo sus propias actividades delictivas”, dijo el Centro Europeo de Cibercrimen (EC3) de Europol en un tweet.
Anunciado desde al menos 2012, el malware generalmente se distribuye a través de campañas de malspam y le da a un atacante remoto un control completo sobre un sistema Windows, macOS o Linux. También viene con capacidades de robo de contraseñas y registro de teclas.
El Departamento de Justicia de los Estados Unidos (DoJ) dijo que la Oficina Federal de Investigaciones (FBI) inició una investigación sobre la operación de malware en 2020, y la agencia creó una cuenta en el sitio y pagó una suscripción para crear una instancia personalizada de NetWire RAT.
NetWire, durante el año pasado, ha sido utilizado por múltiples actores de amenazas, incluidos TA2541 y OPERA1ER, para entrar en objetivos de interés y recopilar información confidencial. Según Avast, también surgió como una de las RAT más prevalentes.
“Al eliminar la RAT Netwire, el FBI ha impactado el ecosistema cibernético criminal”, dijo Donald Alway, subdirector a cargo de la oficina de campo del FBI en Los Ángeles, en un comunicado.
“La asociación global que llevó al arresto en Croacia también eliminó una herramienta popular utilizada para secuestrar computadoras con el fin de perpetrar fraude global, violaciones de datos e intrusiones en redes por grupos de amenazas y ciberdelincuentes.”
