Qu’est-ce qui vient de se passer? Le bureau du procureur des États-Unis, district central de Californie, a récemment annoncé la saisie du domaine Web WorldWiredLabs et de l’infrastructure de support. L’opération, qui a été coordonnée dans plusieurs pays et organismes chargés de l’application de la loi, a stoppé la distribution du cheval de Troie d’accès à distance NetWire (RAT). Le logiciel malveillant était déguisé et commercialisé comme un outil d’administration légitime utilisé par des acteurs malveillants pour obtenir un accès non autorisé aux systèmes ciblés.

L’effort réussi pour coincer le RAT fait suite à plusieurs années d’enquête, d’observation et de planification par les forces de l’ordre du monde entier. Les autorités fédérales de Los Angeles ont exercé un mandat pour saisir le domaine Web worldwiredlabs.com, qui a été utilisé pour vendre et distribuer le logiciel malveillant NetWire. Outre la saisie, les autorités ont arrêté un ressortissant croate identifié comme l’administrateur du site. Le site Web maintenant saisi indique un effort coordonné entre les États-Unis, la Croatie, la Suisse, l’Australie et d’autres autorités affiliées à Europol.

L’enquête initiale du FBI a commencé en 2020 lorsque les enquêteurs ont acheté une copie du logiciel malveillant suspecté et l’ont remise pour une analyse plus approfondie. Selon le résumé de la cause probable du mandat, les enquêteurs du FBI ont réussi à accéder au site, à payer un abonnement et à télécharger le package NetWire RAT à utiliser. Une fois acquis, un informaticien du FBI a utilisé l’outil de création de NetWire pour configurer une instance afin de tester les capacités du logiciel malveillant sur une machine de test spécifiée. À aucun moment, NetWire n’a tenté de vérifier que ceux qui analysaient le logiciel avaient effectivement accès à la machine ciblée.

Une fois configuré, l’informaticien du FBI a confirmé que le logiciel permettait aux utilisateurs de NetWire d’accéder aux fichiers, de fermer les applications, de récupérer les informations d’authentification, de suivre les frappes, d’exécuter des commandes et de prendre des captures d’écran, le tout sans alerter l’utilisateur ciblé. Ces capacités, comportements et absence de notification, qui sont tous des cartes d’appel d’une attaque RAT traditionnelle, sont tous conçus pour attirer des acteurs malveillants dans l’intention de profiter d’autres utilisateurs sans méfiance.

Il existe un certain nombre de moyens par lesquels les organisations et les utilisateurs peuvent aider à éviter d’être victimes de RAT et d’autres attaques d’ingénierie sociale. Un article précédent d’INFOSEC décrit en détail le fonctionnement de NetWire et fournit des conseils aux utilisateurs et aux organisations pour se défendre contre ces types d’attaques. Ceux-ci inclus:

Former les utilisateurs à être conscients des schémas de phishing potentiels et à les gérer

Prendre connaissance des e-mails provenant d’expéditeurs ou de sources inconnus et contenant des versions jointes suspectes

Vérification des sources par d’autres moyens avant d’ouvrir ou de télécharger du contenu

Utilisation d’un anti-malware, d’un antivirus ou d’un autre logiciel de protection des terminaux

Maintenir à jour tous les logiciels et les fichiers du système d’exploitation

Donald Alway, directeur adjoint en charge du bureau extérieur du FBI à Los Angeles, a souligné l’importance de la suppression du logiciel malveillant NetWire. « En supprimant le NetWire RAT, le FBI a eu un impact sur le cyberécosystème criminel. » Les déclarations d’Alway ont également souligné le fait que « … le partenariat mondial qui a conduit à l’arrestation en Croatie a également supprimé un outil populaire utilisé pour détourner des ordinateurs afin de perpétuer la fraude mondiale, les violations de données et les intrusions dans le réseau par des groupes de menaces et des cybercriminels ».



