1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Qui se cache derrière le cheval de Troie d'accès à distance NetWire?

Qui se cache derrière le cheval de Troie d'accès à distance NetWire?

Un ressortissant croate a été arrêté pour avoir prétendument opéré Fil réseau, un cheval de Troie d'accès à distance (RAT) commercialisé sur les forums de cybercriminalité depuis 2012 comme un moyen furtif d'espionner les systèmes infectés et de siphonner les mots de passe. L'arrestation a coïncidé avec une saisie du site Web de vente NetWire par le Bureau fédéral d'Enquête des États-Unis (FBI). Bien que le défendeur dans cette affaire n'ait pas encore été nommé publiquement, le site Web NetWire a divulgué des informations sur la véritable identité probable et l'emplacement de son propriétaire au cours des 11 dernières années.

Généralement installé par documents Microsoft Office piégés et distribué par e-mail, Fil réseau est une menace multiplateforme capable de cibler non seulement Système d'exploitation Microsoft Windows machines mais aussi Android, Linux et Mac système.

La fiabilité de NetWire et son coût relativement bas (80-à 140 depending selon les fonctionnalités) en ont fait un RAT extrêmement populaire sur les forums de cybercriminalité pendant des années, et les infections NetWire se classent systématiquement parmi les top 10 des rats les plus actifs utilisés.

NetWire est vendu ouvertement sur le même site depuis 2012: worldwiredlabs[.]COM. Ce site Web comporte maintenant un avis de saisie du Département de la Justice des États-Unis, qui indique que le domaine a été pris dans le cadre “d'une action coordonnée des forces de l'ordre contre le cheval de Troie d'accès à distance NetWire.”

"Dans le cadre des mesures d'application de la loi de cette semaine, les autorités croates ont arrêté mardi un ressortissant croate qui aurait été l'administrateur du site Web”, lit-on déclaration par le Département de la Justice des États-Unis aujourd'. “Cet accusé sera poursuivi par les autorités croates. De plus, les forces de l'ordre suisses ont saisi mardi le serveur informatique hébergeant l'infrastructure NetWire RAT.”

Ni la déclaration du DOJ ni un communiqué de presse sur l'opération publiée par les autorités croates a mentionné le nom de l'accusé. Mais il est assez remarquable qu'il ait fallu si longtemps aux autorités des États-Unis et d'ailleurs pour s'opposer à NetWire et à son propriétaire présumé, étant donné que l'auteur du RAT n'a apparemment pas fait grand-chose pour cacher son identité réelle.

Le site Web WorldWiredLabs a été mis en ligne pour la première fois en février 2012 en utilisant un hôte dédié sans autres domaines. Les véritables enregistrements d'enregistrement WHOIS du site ont toujours été cachés par les services de protection de la vie privée, mais il existe de nombreux indices dans les enregistrements historiques du Système de noms de domaine (DNS) pour WorldWiredLabs qui pointent dans la même direction.

En octobre 2012, le domaine WorldWiredLabs a déménagé vers un autre serveur dédié à l'adresse Internet 198.91.90.7, qui n'abritait qu'un seul autre domaine: presse scolaire [.] organisation, également enregistré en 2012.

Selon DomainTools.com, presse scolaire[.] org a été enregistrée auprès d'un Mario Zanko a écrit: à Zapresic, Croatie, et à l'adresse e-mail zankomario@gmail.com. DomainTools montre en outre que cette adresse e-mail a été utilisée pour enregistrer un autre domaine en 2012: hébergement web[.]COM, également enregistré au nom de Mario Zanko de Croatie.

Un examen des enregistrements DNS pour les deux printschoolmedia[.] organisation et hébergement web[.] com montre que pendant que ces domaines étaient en ligne, ils utilisaient tous les deux le serveur de noms DNS ns1.worldwiredlabs[.]COM. Aucun autre domaine n'a été enregistré en utilisant ce même serveur de noms.

Le site Web WorldWiredLabs, en 2013. Source: Archive.org.

Enregistrements DNS pour worldwiredlabs[.] com affiche également le site a transféré l'e-mail entrant à l'adresse tommaloney@ruggedinbox.com. Intelligence de Constelle, un service qui indexe les informations exposées par des fuites de bases de données publiques, montre que cette adresse e-mail a été utilisée pour créer un compte chez le détaillant de vêtements romwe.com, en utilisant le mot de passe “123456xx et.”

L'exécution d'une recherche inversée sur ce mot de passe dans Constella Intelligence montre qu'il y a plus de 450 adresses e-mail connues pour avoir utilisé ces informations d'identification, et deux d'entre elles sont zankomario@gmail.com et zankomario@yahoo.com.

Une recherche sur zankomario@gmail.com dans Skype renvoie trois résultats, y compris le nom de compte “Netwire” et le nom d'utilisateur “Dugidox, "et un autre pour un Mario Zanko (nom d'utilisateur zanko.Mario).

Dugidox correspond à la poignée de hackers la plus fréquemment associée aux ventes NetWire et aux fils de discussion de support sur plusieurs forums de cybercriminalité au fil des ans.

Cravates Constella dugidox@gmail.com à un certain nombre d'inscriptions sur des sites Web, y compris le pseudonyme Dugidox sur BlackHatWorld et HackForums, et à des adresses IP en Croatie pour les deux. Constella montre également l'adresse e-mail zankomario@gmail.com utilisé le mot de passe " dugidox2407.”

En 2010, quelqu'un utilisant l'adresse e-mail dugidox@gmail.com enregistré le domaine dugidox[.]COM. Les enregistrements d'enregistrement WHOIS pour ce domaine répertorient une "Senela Eanko" en tant que titulaire, mais l'adresse utilisée était la même adresse postale en Zapresic qui apparaît dans les enregistrements WHOIS pour printschoolmedia[.] org, qui est enregistrée au nom de M. Zanco.

Avant la disparition de Google+, l'adresse e-mail dugidox@gmail.com mappé à un compte avec le pseudo “Réseau wwl.” L'e-mail de dugidox était également lié à un compte Facebook (Mario.zanko3), qui présentait des enregistrements et des photos de divers endroits en Croatie.

Ce profil Facebook n'est plus actif, mais en janvier 2017, l'administrateur de WorldWiredLabs a annoncé qu'il envisageait d'ajouter certaines fonctionnalités mobiles Android à son service. Trois jours après, le Mario.Le profil de Zank3 a publié une photo disant qu'il avait été sélectionné pour un cours d'instruction Android — avec son e-mail dugidox sur la photo, naturellement.

Les dossiers d'incorporation de la Companies House du Royaume-Uni montrent qu'en 2017, M. Zanko est devenu dirigeant d'une société appelée Solutions Godbex LTÉE. A Vidéo Youtube l'invocation de cette dénomination sociale décrit Godbex comme une “plateforme de nouvelle génération” pour l'échange d'or et de crypto-monnaies.

Les archives de la Companies House du Royaume-Uni montrent que Godbex a été dissoute en 2020. Il est également indiqué que M. Zanko est né en juillet 1983 et indique sa profession comme " ingénieur électricien.”

M. Zanko n'a pas répondu aux multiples demandes de commentaires.



>>Plus