Análisis de malware

Malware NetWire: qué es, cómo funciona y cómo prevenirlo | Destacado malware

25 de noviembre de por Pedro Tavares

NetWire es un troyano de acceso remoto centrado en el robo de contraseñas y el registro de teclas, además de incluir capacidades de control remoto. Esta amenaza ha sido utilizada por grupos maliciosos desde y distribuida a través de diversas campañas de ingeniería social ( malspam). Recientemente, NetWire se ha distribuido como una segunda carga útil utilizando documentos de Microsoft Word a través de ondas de phishing GuLoader .

Este artículo brindará detalles, tácticas y el modo de operación del malware NetWire, así como medidas de prevención que pueden usarse para detener esta amenaza.

Descripción general de NetWire

NetWire RAT es un software malicioso que surgió en. Desde entonces, este malware multiplataforma ha pasado por varias actualizaciones y fue identificado en diferentes tipos de ataques que van desde estafadores nigerianos hasta ataques de amenazas persistentes avanzadas (APT) .

Según Spamhaus Botnet Threat Update – Q2 , NetWire RAT ha sido observado durante como una de las botnets más activas. En este informe de amenazas, ocupa el puesto 15 entre un total deamilias de malware.

1: Familias de malware asociadas con botnets CC – Segundo trimestre de ( Spamhaus ) – #15 NetWire

La amenaza se propaga esencialmente a través de ataques temáticos de COVID-19, según el informe de Group-IB . Como se puede ver en la 2, NetWire fue una de las familias de malware más explotadas en las campañas de phishing de COVID-19 entre febrero y abril de.

2: Familias de malware explotadas más activamente en campañas de phishing de COVID-19 de febrero a abril de ( Grupo-IB )

El modus operandi de NetWire

Hoy en día, NetWire suele lanzarse a través de campañas de ingeniería social o como carga útil posterior de otra cadena de malware. Los delincuentes envían correos electrónicos con archivos maliciosos adjuntos a una gran cantidad de usuarios y esperan que al menos alguien abra el archivo infectado. Una vez que la víctima hace clic en él, el archivo de malware se descarga en la computadora de la víctima. Los archivos compartidos que suelen utilizar los delincuentes son archivos PDF, Word e IMG .

3: Plantillas de phishing de NetWire

Como resultado, después de hacer clic en la URL compartida, la siguiente etapa se descarga en la computadora de la víctima. En este momento, el archivo descargado puede ser un archivo ZIP que contiene un archivo PE en su interior (ver 4), o un archivo DOC que contiene una macro maliciosa que descargará el archivo binario desde el servidor C2 (5).

4: Archivo ZIP que contiene el binario NetWire en su interior

5: Archivo de Word con una macro maliciosa que descargará el binario NetWire desde el servidor C2

Después de ser ejecutado del lado de la víctima, se ejecutan varias técnicas anti-análisis para protegerla del análisis. En detalle, extrae dinámicamente el código malicioso en la memoria y lo ejecuta para evitar la detección AV.

Otro detalle interesante es la detección de movimientos del mouse (6). Sin movimientos del mouse, el dispositivo de destino puede ser un sistema de espacio aislado. Con estos trucos, NetWire pretende protegerse contra el análisis automatizado de malware.

6: Detección de la posición del mouse NetWire: técnica anti-sandboxing

NetWire crea una carpeta de registro (%AppData%Logs) para almacenar los archivos de registro con los datos que recopila del sistema de la víctima durante su ejecución. El malware obtiene todas las acciones y tiempos del teclado de la víctima, así como los títulos de lo que la víctima está escribiendo. Los datos registrados se codifican y almacenan en el archivo de registro y luego se envían en línea al servidor C2.

7: Archivo de registro del keylogger codificado y su contenido decodificado

Como técnica de persistencia, NetWire crea una clave de inicio (HKCUSOFTWARENetwire) y la agrega al grupo de ejecución automática en el registro de la víctima. Con este enfoque, se ejecuta cada vez que se inicia el sistema infectado. Según otras muestras analizadas, también se crea un archivo VBS en la carpeta de inicio de Windows (defender.vbs) para hacerlo persistente.

8: Técnicas de persistencia de NetWire

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Medidas de prevención

Las campañas de red se dirigen a usuarios y empresas a través de esquemas de ingeniería social. En general, este tipo de ondas se podrían prevenir tomando las siguientes precauciones:

Y, por último, sea proactivo y empiece a tomarse en serio la protección contra malware.

Fuentes