Europol, accompagné du FBI et la police croate, a arrêté un malfaiteur, à la tête du cheval de Troie Netwire. Ce logiciel malveillant était vendu par abonnement à des milliers de hackers depuis plus de onze ans.

Les forces de l’ordre enchainent les coups de filet contre les cybercriminels. Le 10 mars 2023, Europol nous apprend qu’une opération conjointe avec le FBI et la police croate a permis d’arrêter un individu en Croatie, l’administrateur du malware Netwire. Ce cheval de Troie est devenu l’outil favori de milliers de hackers à travers le monde, notamment en raison de son faible coût d’abonnement, de 10 à 60 dollars par mois. Pire, ce logiciel malveillant était en ligne sur un site accessible à tous depuis plus de dix ans, www.worldwiredlabs.com, aujourd’hui éteint.

La page d'accueil pour louer le malware abattu par les forces de l'ordre. // Source : Numerama
La page d’accueil pour louer le malware abattu par les forces de l’ordre. // Source : Numerama

En ligne depuis 2012, il a subi de nombreuses mises à jour pour rester à la page et améliorer son infiltration. Netwire fonctionne comme un cheval de Troie classique : un mail frauduleux est envoyé à la cible avec un PDF en pièce jointe contenant la souche malveillante. Une fois installé, le malware se glisse dans les dossiers et va donner accès à l’ordinateur de la victime. Fait intéressant, Netwire collecte et enregistre les frappes sur le clavier ainsi que les mouvements de souris.

Cet outil – baptisée Keyloger – permet à l’attaquant de trouver directement des dossiers ou récupérer des mots de passe. Là encore, tout est stocké dans un fichier, décodé ensuite sur l’ordinateur du malfaiteur qui pourra consulter la liste des liens dans un fichier.

Un exemple de fichier décodé contenant des liens consultés sur les moteurs de recherches, enregistrés grâce à Netwire. // Source : Fortinet
Un exemple de fichier décodé contenant les sites bancaires consultés sur les moteurs de recherches, enregistrés grâce à Netwire. // Source : Fortinet

La société de cybersécurité Avast note que NetWire était encore l’un des dix chevaux de Troie les plus utilisés au monde au dernier trimestre de l’année 2022. Des campagnes massives ont été menées avec ce logiciel malveillant, notamment pour voler des données industrielles sensibles, comme dans le secteur de l’aviation.

Une adresse mail trouvée sur Skype

Brian Krebs, célèbre journaliste et spécialiste cyber, est parvenu à identifier le malfaiteur arrêté en Croatie, nommé Mario Zanko, selon lui. Le serveur sur lequel le site du malware était enregistré contenait un seul autre nom de domaine, créé par l’individu en question, résidant dans la banlieue de Zagreb, la capitale du pays.

Brian Krebs est allé plus loin en menant une recherche de mot de passe, grâce aux fuites sur les forums et le darknet, depuis les mails liés aux noms de domaines. Deux combinaisons de mots de passe étaient liées à des adresses, portant le nom de Mario Zanko, pour créer des comptes sur des sites de vente de vêtements.

Une recherche de [email protected] dans Skype renvoie trois résultats, dont le nom de compte Netwire, Dugidox (un outil lié au cheval de Troie) et un autre pour un Mario Zanko. En fouillant, le journaliste a découvert que ce même individu s’est lancé dans les crypto-monnaies avec une société à son nom basé au Royaume-Uni.

Mario Zanko arrêté par la police croate et Europol. // Source : hr24
Mario Zanko arrêté par la police croate et Europol. // Source : hr24

L’enquête de Brian Krebs est digne des forces de l’ordre puisque la presse croate a dévoilé ce 10 mars que le fameux cybercriminel est bien Mario Zanko. L’administrateur de Netwire résidait toujours dans la banlieue de Zagreb quand la police est venue toquer chez lui. Les enquêteurs ont trouvé au moins 657 815 dollars américains et 268 615 euros sur ses comptes bancaires.

Une preuve que même les cybercriminels laissent des traces, et ne sont jamais à l’abri d’une intervention surprise.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !