1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. ¿Quién está Detrás del Troyano de Acceso Remoto NetWire?

¿Quién está Detrás del Troyano de Acceso Remoto NetWire?

09 March 2023

Un ciudadano croata ha sido arrestado por presuntamente operar Cable de red, un troyano de acceso remoto (RAT) comercializado en foros de delitos cibernéticos desde 2012 como una forma sigilosa de espiar sistemas infectados y desviar contraseñas. El arresto coincidió con una incautación del sitio web de ventas NetWire por parte del Oficina Federal de Investigaciones de los Estados Unidos (FBI). Si bien el acusado en este caso aún no ha sido nombrado públicamente, el sitio web NetWire ha estado filtrando información sobre la verdadera identidad y ubicación de su propietario durante los últimos 11 años.

Normalmente instalado por documentos de Microsoft Office con trampas explosivas y distribuido por correo electrónico, Cable de red es una amenaza multiplataforma que es capaz de apuntar no solo Microsoft Windows máquinas, sino también Android, Linux y Mac sistema.

La confiabilidad y el costo relativamente bajo de NetWire ($80-$140 dependiendo de las características) lo han convertido en una RATA extremadamente popular en los foros de delitos cibernéticos durante años, y las infecciones de NetWire se encuentran constantemente entre las las 10 ratas más activas en uso.

NetWire se vende abiertamente en el mismo sitio web desde 2012: worldwiredlabs[.] com. Ese sitio web ahora presenta un aviso de incautación del Departamento de Justicia de los Estados Unidos, que dice que el dominio fue tomado como parte de "una acción coordinada de aplicación de la ley tomada contra el troyano de acceso remoto NetWire.”

"Como parte de la acción policial de esta semana, las autoridades de Croacia arrestaron el martes a un ciudadano croata que supuestamente era el administrador del sitio web", dice instrucción por el Departamento de Justicia de los Estados Unidos hoy. "Este acusado será procesado por las autoridades croatas. Además, las fuerzas del orden en Suiza incautaron el martes el servidor de computadora que aloja la infraestructura Netwire RAT.”

Ni la declaración del Departamento de Justicia ni un comunicado de prensa en la operación publicada por las autoridades croatas mencionó el nombre del acusado. Pero es bastante notable que las autoridades en los Estados Unidos y en otros lugares hayan tardado tanto en actuar contra NetWire y su presunto propietario, dado que el autor de la RATA aparentemente hizo muy poco para ocultar su identidad en la vida real.

El sitio web de WorldWiredLabs se puso en línea por primera vez en febrero de 2012 utilizando un host dedicado sin otros dominios. Los verdaderos registros de registro de WHOIS del sitio siempre han estado ocultos por los servicios de protección de la privacidad, pero hay muchas pistas en los registros históricos del Sistema de Nombres de Dominio (DNS) de WorldWiredLabs que apuntan en la misma dirección.

En octubre de 2012, el dominio de WorldWiredLabs se trasladó a otro servidor dedicado en la dirección de Internet 198.91.90.7, que albergaba solo otro dominio: printschoolmedia[.] org, también registrado en 2012.

Según DomainTools.com, printschoolmedia[.] org se registró a nombre de un Mario Zanko en Zapresic, Croacia, y a la dirección de correo electrónico zankomario@gmail.com. DomainTools muestra además que esta dirección de correo electrónico se utilizó para registrar otro dominio en 2012: wwlabshosting[.] com, también registrado a nombre de Mario Zanko de Croacia.

Una revisión de los registros DNS para printschoolmedia[.] org y wwlabshosting[.] com muestra que mientras estos dominios estaban en línea, ambos usaban el servidor de nombres DNS ns1.worldwiredlabs[.] com. No se ha registrado ningún otro dominio con el mismo servidor de nombres.

El sitio web de WorldWiredLabs, en 2013. Fuente: Archive.org.

Registros DNS de worldwiredlabs[.] com también muestra el correo electrónico entrante reenviado del sitio a la dirección tommaloney@ruggedinbox.com. Inteligencia Constella, un servicio que indexa la información expuesta por filtraciones de bases de datos públicas, muestra que esta dirección de correo electrónico se utilizó para registrar una cuenta en el minorista de ropa romwe.com, usando la contraseña "123456xx.”

Al realizar una búsqueda inversa de esta contraseña en Constella Intelligence, se sabe que hay más de 450 direcciones de correo electrónico que han utilizado esta credencial, y dos de ellas son zankomario@gmail.com y zankomario@yahoo.com.

Una búsqueda en zankomario@gmail.com en Skype devuelve tres resultados, incluido el nombre de cuenta "Netwire" y el nombre de usuario "Dugidox, "y otro para un Mario Zanko (nombre de usuario zanko.mario).

Dugidox corresponde al identificador de hackers más frecuentemente asociado con las ventas de NetWire y los hilos de discusión de soporte en múltiples foros de delitos cibernéticos a lo largo de los años.

Corbatas Constella dugidox@gmail.com a una serie de registros en sitios web, incluido el identificador Dugidox en BlackHatWorld y HackForums, y a direcciones IP en Croacia para ambos. Constella también muestra la dirección de correo electrónico zankomario@gmail.com usó la contraseña " dugidox2407.”

En 2010, alguien que usaba la dirección de correo electrónico dugidox@gmail.com registrado el dominio dugidox[.] com. Los registros de registro de WHOIS para ese dominio enumeran a "Senela Eanko" como el registrante, pero la dirección utilizada fue la misma dirección en Zapresic que aparece en los registros de WHOIS para printschoolmedia[.] org, que está registrada a nombre del Sr.

Antes de la desaparición de Google+, la dirección de correo electrónico dugidox@gmail.com asignado a una cuenta con el apodo "Netwire wwl."El correo electrónico de dugidox también estaba vinculado a una cuenta de Facebook (mario.zanko3), que incluía registros de entrada y fotos de varios lugares de Croacia.

Ese perfil de Facebook ya no está activo, pero en enero de 2017, el administrador de WorldWiredLabs publicó que estaba considerando agregar cierta funcionalidad móvil de Android a su servicio. Tres días después, el Mario.El perfil de Zank3 publicó una foto diciendo que fue seleccionado para un curso de instrucción de Android, con su correo electrónico dugidox en la foto, naturalmente.

Los registros de incorporación de la Cámara de Sociedades del Reino Unido muestran que en 2017 el Sr. Zanko se convirtió en funcionario de una empresa llamada Godbex Solutions LTD.. A Vídeo de Youtube invocar este nombre corporativo describe a Godbex como una "plataforma de próxima generación" para intercambiar oro y criptomonedas.

Los registros de la Cámara de Empresas del Reino Unido muestran que Godbex se disolvió en 2020. Zanko nació en julio de 1983, y enumera su ocupación como " ingeniero eléctrico.”

Zanko no respondió a múltiples solicitudes de comentarios.



>>Más