Contenido de Detección: Cazando el RAT Netwire

NetWire es un troyano de acceso remoto disponible públicamente que forma parte de la familia de malware NetWiredRC utilizada por ciberdelincuentes desde 2012. Su funcionalidad principal se centra en el robo de credenciales y registro de teclas, pero también tiene capacidades de control remoto. Los adversarios suelen distribuir NetWire a través de malspam y correos electrónicos de phishing. 

En una campaña reciente, los ciberdelincuentes apuntaron a usuarios en Alemania y disfrazaron correos electrónicos de phishing como el servicio de mensajería, paquetería y correo exprés alemán DHL. Los atacantes usaron documentos de MS Excel como un adjunto malicioso. Activa un comando PowerShell para descargar dos archivos de Pastebin y realizar reemplazos de caracteres en ellos para decodificar el archivo DLL, descargar NetWire RAT ofuscado, y luego usar el DLL decodificado para inyectar el troyano en el proceso legítimo. 

Nueva regla de caza de amenazas por Osman Demir descubre comando PowerShell para descargar archivos maliciosos e inyección de procesos en un archivo legítimo de Windows.

Netwire RAT vía paste.ee y MS Excel – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Comando y Control

Técnicas: Herramientas de Acceso Remoto (T1219)

También puede verificar la regla de la comunidad Detección de Netwire RAT vía WScript: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/