Conteúdo de Detecção: Caçando o Netwire RAT

O NetWire é um Trojan de Acesso Remoto disponível publicamente que faz parte da família de malware NetWiredRC usada por cibercriminosos desde 2012. Sua funcionalidade principal é focada no roubo de credenciais e keylogging, mas também possui capacidades de controle remoto. Os adversários frequentemente distribuem o NetWire através de malspam e emails de phishing. 

Em uma campanha recente, cibercriminosos miraram usuários na Alemanha e disfarçaram emails de phishing como se fossem do serviço de correio, encomenda e entrega expressa DHL. Os atacantes usaram documentos MS Excel como anexo malicioso. Ele ativa um comando PowerShell para baixar dois arquivos do Pastebin e realizar substituições de caracteres neles para decodificar o arquivo DLL, baixar o obfuscado NetWire RAT e então usar o DLL decodificado para injetar o trojan no processo legítimo. 

Nova regra de caça a ameaças por Osman Demir descobre comando PowerShell para baixar arquivos maliciosos e injeção de processo em um arquivo legítimo do Windows.

Netwire RAT via paste.ee e MS Excel – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Comando e Controle

Técnicas: Ferramentas de Acesso Remoto (T1219)

Você também pode verificar a regra da comunidade Detecção do Netwire RAT via WScript: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/