Malware
Publicado el 16 de marzo de 2023 por Joshua Long
A posteriori de casi 11 primaveras en funcionamiento, las fuerzas del orden cerraron la distribución del sombrío software NetWire Remote Control. NetWire era un troyano de acercamiento remoto (RAT) multiplataforma vendido comercialmente con capacidades diseñadas para espiar a las víctimas. Los productos antivirus suelen detectar NetWire con nombres como Netweird, NetWeirdRC, Netwire o Wirenet.
En un comunicado de prensa, el Área de Honradez de Estados Unidos detalló lo ocurrido. El martes 7 de marzo de 2023, el DOJ confiscó el dominio worldwiredlabs[.]com. Este sitio, que opera como World Wired Labs, ha estado vendiendo NetWire desde mayo de 2012. Ahora simplemente muestra una pantalla de inicio de incautaciones del FBI.
El aviso sobre el dominio incautado dice, en parte:
Este sitio web ha sido incautado como parte de una energía policial coordinada tomada contra el troyano de acercamiento remoto NetWire. Este dominio ha sido incautado por la Oficina Federal de Investigaciones de acuerdo con una orden de incautación… como parte de una operación y energía conjunta de aplicación de la ley internacional…
Las autoridades policiales de Croacia arrestaron al supuesto cirujano del sitio el mismo día. Según informes de Brian Krebs y noticiario croatas (traducción al inglés), Mario Zanko, de 40 primaveras, supuestamente distribuyó el malware. La investigación de Krebs indica que Zanko usaba el seudónimo de hacker Dugidox. Según los informes, las autoridades croatas procesarán al fabricante de malware dibujado.
Según los informes, Zanko ganó casi $ 1 millón vendiendo el software, que se vendió por entre $ 60 y $ 140 por atrevimiento a lo dispendioso de los primaveras. Esto parecería sugerir que World Wired Labs probablemente vendió al menos 10,000 licencias.
Encima de la incautación del sitio y el arresto de Zanko, el Área de Honradez informa que las autoridades suizas incautaron el servidor que albergaba la infraestructura de la RAT. No está claro si esto evita que las infecciones existentes puedan designar a casa para comandar y controlar servidores para implementaciones específicas de NetWire.
La historia del control remoto NetWire
Intego ha escrito sobre este malware desde que se descubrió la primera lectura para Mac en 2012. Las variantes de la lectura para Mac de este malware se conocen con nombres como OSX/NetWeirdRC.A, OSX/NetWeirdRC.B, OSX/NetWeirdRC.C, OSX/Netweird, OSX/cable de redy OSX/red inalámbrica.
Arte de la caja supuesto de NetWire Remote Control. NetWire era un software informador comercial.
NetWire Remote Control se anunció como “una posibilidad de control remoto destacamento”, pero los exploración binarios dejaron claro su propósito verdadero. Como explicamos en nuestro exploración de agosto de 2012, la primera lectura de Mac era capaz de robar contraseñas de navegadores web y clientes de correo electrónico, a enterarse, Firefox, Opera, SeaMonkey y Thunderbird. El robo de credenciales no es un comportamiento que uno esperaría de un software seguro de establecimiento remota o monitoreo de computadoras. El Área de Honradez igualmente señala que NetWire “se anunció en foros de piratería, y numerosas empresas de seguridad cibernética y agencias gubernamentales han documentado casos en los que NetWire RAT se usa en actividades delictivas”.
Un exploración de la puerta trasera multiplataforma OSX/NetWeirdRC
Apple agregó la detección de una modificación de NetWire a sus definiciones de XProtect en septiembre de 2016.
Apple actualiza las definiciones de malware XProtect para NetWeirdRC
En junio de 2019, los delincuentes propagaron el malware NetWire en un amplio ataque notorio, aprovechando una vulnerabilidad de día cero en Firefox.
El malware para Mac vuelve a crecer; varias amenazas nuevas encontradas: Netwire, Mokes, LoudMiner, NewTab
El fin de una era; ¿Una muestra de lo que vendrá?
El FBI comenzó a investigar World Wired Labs en el año 2020, aproximadamente ocho primaveras posteriormente de que apareciera el malware y tres primaveras ayer de que se llevaran a extremo las acciones coordinadas de aplicación de la ley.
El logo de World Wired Labs, distribuidor de NetWire
Aunque es lamentable que las fuerzas del orden tardaran 11 primaveras en detener el crecimiento y la proliferación de este malware, nos alegra que finalmente haya sucedido. Esperamos que los organismos internacionales encargados de hacer cumplir la ley aprendan de esta experiencia y neutralicen más rápidamente amenazas de malware similares en el futuro.
¿Cómo puedo memorizar más?
Hablamos sobre el desmantelamiento de NetWire Remote Control en el episodio 283 del Intego Mac Podcast:
Cada semana en el Podcast de destino para MacLos expertos en seguridad de Mac de Intego analizan las últimas noticiario de Apple, incluidas las historias de seguridad y privacidad, y ofrecen consejos prácticos para usar al mayor sus dispositivos Apple. Asegúrate de sigue el pódcast para comprobar de que no se pierda ningún episodio.
Además puede suscribirse a nuestro Boletín electrónico y ayudar un ojo aquí en El blog de seguridad de Mac para conocer las últimas noticiario sobre seguridad y privacidad de Apple. Y no olvide seguir a Intego en sus redes sociales favoritas: 
Crédito de la foto del agente cibernético: FBI, a través del sitio de quinta.
Acerca de Joshua Long
Josué dispendioso (@joshmeister), analista patrón de seguridad de Intego, es un agradecido investigador de seguridad, escritor y orador notorio. Josh tiene una destreza en TI con especialización en seguridad de Internet y ha tomado cursos de nivel de doctorado en seguridad de la información. Apple ha agradecido públicamente a Josh por descubrir una vulnerabilidad de autenticación de ID de Apple. Josh ha realizado investigaciones sobre seguridad cibernética durante más de 20 primaveras, que a menudo han aparecido en los principales medios de comunicación de todo el mundo. Busque más artículos de Josh en security.thejoshmeister.com y sígalo en Gorjeo. Ver todas las publicaciones de Joshua Long →
