O NetWire é um Trojan de Acesso Remoto disponível publicamente que faz parte da família de malware NetWiredRC usada por cibercriminosos desde 2012. Sua funcionalidade principal é focada no roubo de credenciais e keylogging, mas também possui capacidades de controle remoto. Os adversários frequentemente distribuem o NetWire através de malspam e emails de phishing.
Em uma campanha recente, cibercriminosos miraram usuários na Alemanha e disfarçaram emails de phishing como se fossem do serviço de correio, encomenda e entrega expressa DHL. Os atacantes usaram documentos MS Excel como anexo malicioso. Ele ativa um comando PowerShell para baixar dois arquivos do Pastebin e realizar substituições de caracteres neles para decodificar o arquivo DLL, baixar o obfuscado NetWire RAT e então usar o DLL decodificado para injetar o trojan no processo legítimo.
Nova regra de caça a ameaças por Osman Demir descobre comando PowerShell para baixar arquivos maliciosos e injeção de processo em um arquivo legítimo do Windows.
Netwire RAT via paste.ee e MS Excel – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Comando e Controle
Técnicas: Ferramentas de Acesso Remoto (T1219)
Você também pode verificar a regra da comunidade Detecção do Netwire RAT via WScript: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/
