Полиция Хорватии 7 марта арестовала подозреваемого, который предположительно управлял веб-сайтом “worldwiredlabs.com”, который в течение нескольких лет продавал вредоносное ПО NetWire. В тот же день федеральные власти Лос-Анджелеса конфисковали домен, а правоохранительные органы Швейцарии захватили сервер, на котором размещена инфраструктура RAT-трояна NetWire.
Троян NetWire, впервые обнаруженный в 2012 году, скрывался во вредоносных файлах и доставлялся через фишинговые атаки. После заражения устройства жертвы NetWire осуществлял кражу паролей, кейлоггинг и удаленное управление устройством.
RAT-троян NetWire был очень популярен среди киберпреступников и правительственных хакерских групп. Помощник директора отделения ФБР в Лос-Анджелесе Дональд Алвей сказал , что, удалив NetWire, ФБР повлияло на киберпреступную экосистему.
Бюро ФБР в Лос-Анджелесе начало расследование в отношении распространителя вредоносного ПО в 2020 году. В рамках операции агенты под прикрытием создали учетные записи на веб-сайте, оплатили подписку и “создали настроенный экземпляр NetWire с помощью инструмента Builder Tool”.
Согласно ордеруФБР, захват инфраструктуры благодаря тому, что регистратор доменов ” data-html=”true” data-original-title=”Verisign” >Verisign перенаправил домен “worldwiredlabs” на серверы, контролируемые ФБР.
Ни США, ни хорватские власти не разглашают имя подозреваемого. Однако исследователь кибербезопасности Брайан Кребс идентифицировал Марио Занко из Запрешича, Хорватия, как владельца домена с 2012 года.
По данным хорватской полиции, преступник продавал лицензии NetWire по цене от $10 до $1200. Полиции еще предстоит определить общий объем заработанных средств от продаж NetWire. По словам офицеров, другие хакеры, купившие вредоносное ПО, использовали его для атак на организации здравоохранения и банки.