Les forces de l’ordre enchainent les coups de filet contre les cybercriminels. Le 10 mars 2023, Europol nous apprend qu’une opération conjointe avec le FBI et la police croate a permis d’arrêter un individu en Croatie, l’administrateur du malware Netwire. Ce cheval de Troie est devenu l’outil favori de milliers de hackers à travers le monde, notamment en raison de son faible coût d’abonnement, de 10 à 60 dollars par mois. Pire, ce logiciel malveillant était en ligne sur un site accessible à tous depuis plus de dix ans, www.worldwiredlabs.com, aujourd’hui éteint.
En ligne depuis 2012, il a subi de nombreuses mises à jour pour rester à la page et améliorer son infiltration. Netwire fonctionne comme un cheval de Troie classique : un mail frauduleux est envoyé à la cible avec un PDF en pièce jointe contenant la souche malveillante. Une fois installé, le malware se glisse dans les dossiers et va donner accès à l’ordinateur de la victime. Fait intéressant, Netwire collecte et enregistre les frappes sur le clavier ainsi que les mouvements de souris.
Cet outil – baptisée Keyloger – permet à l’attaquant de trouver directement des dossiers ou récupérer des mots de passe. Là encore, tout est stocké dans un fichier, décodé ensuite sur l’ordinateur du malfaiteur qui pourra consulter la liste des liens dans un fichier.
La société de cybersécurité Avast note que NetWire était encore l’un des dix chevaux de Troie les plus utilisés au monde au dernier trimestre de l’année 2022. Des campagnes massives ont été menées avec ce logiciel malveillant, notamment pour voler des données industrielles sensibles, comme dans le secteur de l’aviation.
Une adresse mail trouvée sur Skype
Brian Krebs, célèbre journaliste et spécialiste cyber, est parvenu à identifier le malfaiteur arrêté en Croatie, nommé Mario Zanko, selon lui. Le serveur sur lequel le site du malware était enregistré contenait un seul autre nom de domaine, créé par l’individu en question, résidant dans la banlieue de Zagreb, la capitale du pays.
Brian Krebs est allé plus loin en menant une recherche de mot de passe, grâce aux fuites sur les forums et le darknet, depuis les mails liés aux noms de domaines. Deux combinaisons de mots de passe étaient liées à des adresses, portant le nom de Mario Zanko, pour créer des comptes sur des sites de vente de vêtements.
Une recherche de [email protected] dans Skype renvoie trois résultats, dont le nom de compte Netwire, Dugidox (un outil lié au cheval de Troie) et un autre pour un Mario Zanko. En fouillant, le journaliste a découvert que ce même individu s’est lancé dans les crypto-monnaies avec une société à son nom basé au Royaume-Uni.
L’enquête de Brian Krebs est digne des forces de l’ordre puisque la presse croate a dévoilé ce 10 mars que le fameux cybercriminel est bien Mario Zanko. L’administrateur de Netwire résidait toujours dans la banlieue de Zagreb quand la police est venue toquer chez lui. Les enquêteurs ont trouvé au moins 657 815 dollars américains et 268 615 euros sur ses comptes bancaires.
Une preuve que même les cybercriminels laissent des traces, et ne sont jamais à l’abri d’une intervention surprise.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !