netwire-rat - RunkIntel

# NetWire RAT > [!high] RAT Multiplataforma Versátil — Amplamente Usado em Fraudes de Hospitalidade e Phishing > NetWire RAT é um Remote Access Trojan multiplataforma (Windows/Linux/macOS) comercializado originalmente como ferramenta legítima e depois adotado massivamente por cibercriminosos. É frequentemente documentado em campanhas de phishing contra hotéis e turismo, incluindo a campanha RevengeHotels no Brasil. ## Visão Geral O NetWire RAT foi desenvolvido originalmente pela World Wired Labs como ferramenta comercial legítima de administração remota, mas rapidamente tornou-se uma das ferramentas de acesso remoto mais usadas por cibercriminosos globalmente desde 2012. Em março de 2023, uma operação conjunta do FBI, Europol e autoridades holandesas derrubou a infraestrutura e prendeu o principal administrador do site de distribuição do NetWire. Apesar do takedown, o NetWire continua sendo distribuído em fóruns underground e usado em campanhas ativas. O malware oferece keylogging, captura de tela, acesso a câmera, shell remoto, gerenciamento de arquivos e módulo de credenciais de navegadores. Sua característica multiplataforma — suportando Windows, Linux e macOS — o torna versátil para atacantes. No contexto brasileiro, o NetWire ganhou notoriedade pelo seu uso na campanha [[revengehotels-campaign|RevengeHotels]], documentada pela Trend Micro, que visou específicamente hotéis e pousadas brasileiras para roubo de dados de cartões de crédito de hóspedes registrados. > [!latam] Relevância para o Brasil e LATAM > O Brasil é um alvo documentado do NetWire via campanha [[revengehotels-campaign|RevengeHotels]], que comprometeu sistemas de gestão hoteleira para roubo de dados de cartões de hóspedes. O [[technology|setor de hospitalidade]] e turismo brasileiro — com milhares de hotéis e pousadas usando sistemas de gestão vulneráveis a phishing — deve ser tratado como setor de alto risco. O [[financial|setor financeiro]] também é alvo frequente de campanhas de phishing que usam o NetWire como payload. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spear-phishing com documentos Office maliciosos | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogging de credenciais e dados | | Collection | [[t1113-screen-capture\|T1113]] | Capturas de tela periódicas | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS para comunicação C2 | | Persistence | [[t1543-003-windows-service\|T1543.003]] | Instalação como serviço Windows | ## Detecção - Monitorar processos com acesso a APIs de keylogging (SetWindowsHookEx) por aplicações não esperadas - Detectar criação de serviços Windows com nomes genéricos ou imitando software legítimo - Alertar para tráfego de rede de processos recém-instalados para endpoints C2 externos - Usar regras YARA e Snort/Suricata para assinaturas do NetWire ## Referências - [FBI - NetWire RAT Takedown (2023)](https://www.ic3.gov/Media/Y2023/PSA230309) - [Trend Micro - RevengeHotels Campaign Using NetWire (2019)](https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/revengehotels-cybercrime-group-targets-hotels-using-remote-access-trojans) - [Malpedia - NetWire RAT](https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire)