Netwire является продвинутой RAT - это вредоносная программа, которая берет под контроль зараженные ПК и позволяет своим операторам выполнять различные действия. В отличие от многих RAT, эта программа может поражать все основные операционные системы, включая Windows, Linux и MacOS.
Что такое Netwire RAT?
Netwire - это вредоносная программа типа троян для удаленного доступа. RAT - это вредоносная программа, используемая для удаленного управления зараженной машиной. Эта конкретная RAT может выполнять более 100 вредоносных действий на зараженных машинах и атаковать различные системы, включая Windows, MacOS от Apple и Linux.
Вредоносная программа Netwire доступна для приобретения в даркнете в подпольных хакерских сообществах, где злоумышленники могут купить эту RAT по цене от 40 до 140 долларов США. Кроме того, Netwire можно приобрести в поверхностном интернете по цене 180 долларов США. Примечательно, что в 2016 году Netwire получил обновление, которое добавило функцию кражи данных с устройств, подключенных к зараженной машине, таких как USB-считыватели кредитных карт, что позволяет Netwire осуществлять POS-атаки.
Общее описание Netwire RAT
Основная функциональность троянской программы Netwire позволяет ей осуществлять удаленный контроль над зараженным компьютером, записывать нажатия клавиш и поведение мыши, делать скриншоты, проверять системную информацию и создавать поддельные HTTP-прокси.
Функция кейлоггера позволяет Netwire записывать различные персональные данные, вмененные компьютеру, подключенному к Интернету или корпоративной сети. В сочетании со способностью красть информацию о кредитных картах и работать незамеченным в течение длительного времени, Netwire RAT действительно способен нанести серьезный ущерб организациям.
В некоторых вредоносных кампаниях троян Netwire использовался для атак на медицинские и банковские учреждения. Вредоносная программа также была задокументирована как используемая группой мошенников из Африки, которые использовали Netwire для получения удаленного контроля над зараженными машинами.
Создатели Netwire RAT приложили немало усилий для того, чтобы исследователям было сложно проанализировать эту вредоносную программу, поскольку для усложнения процесса исследования было принято множество мер предосторожности, включая такие приемы, как многоуровневое шифрование данных и обфускация строк. Кроме того, вредоносная программа использует собственный двоичный протокол C2, который также шифруется, как и соответствующие данные перед передачей.
Во время одной из кампаний исследователи заметили, что Netwire распространяется под названием "TeamViewer 10", названным так для того, чтобы обмануть жертв и заставить их думать, что они загрузили легитимное программное обеспечение для удаленной помощи. Как только начинался процесс выполнения, эта версия подбрасывала файл .EXE и сразу же начинала устанавливать постоянство. Вредоносная программа создавала ярлык Windows в меню "Пуск", чтобы троян Netwire всегда запускался при входе пользователя в систему. Интересно, что еще один трюк, призванный скрыть вредоносное ПО, на самом деле выдал его во время этой кампании. Вредоносная программа внедряла свой код в файл Notepad.exe, что выдавало ее присутствие, так как это ненормально, когда блокнот имеет постоянно активное сетевое соединение. Только после декодирования данных, подготовленных для передачи на C2, обнаруживался конфиденциальный характер украденной информации. К сожалению, исследователи не раскрыли, на какую организацию была направлена эта конкретная атака.
Процесс выполнения Netwire RAT
Netwire не так интересен, как некоторые другие вредоносные программы, с точки зрения исполнения вредоносного ПО. Она проникает на устройство, в основном, в виде полезной нагрузки.
Пользователь получает спам по электронной почте с вложенным файлом Microsoft Word. После того, как пользователь загружает и открывает этот файл, на машину сбрасывается или загружается исполняемый файл. После этого исполняемый файл начинает выполнять основные вредоносные действия, такие как запись себя в автозагрузку, подключение к C2-серверам и кража информации с зараженного устройства. Netwire также обладает способностью внедряться в недоверенные процессы, из которых он может выполнять вредоносные действия.
Распространение Netwire RAT
Netwire RAT обычно распространяется в фишинговых кампаниях по электронной почте в виде вредоносного документа Microsoft Office. Жертва должна включить макросы, чтобы RAT перешла в активное состояние. Затем макросы загружают Netwire, позволяя вредоносной программе начать процесс выполнения.
Заключение
Разнообразный набор функций для кражи информации в сочетании с возможностью атаковать несколько операционных систем и красть данные с кредитных карт, используемых в зараженной системе, делают Netwire Trojan очень опасным троянцем удаленного доступа.
Несмотря на впечатляющие функциональные возможности, вредоносная программа достаточно доступна и продается на подпольных форумах всего за 40 долларов в отдельных случаях. Ситуация усугубляется тем, что создатели Netwire RAT реализовали несколько функций, призванных максимально усложнить анализ.