O malware NanoCore é um dos RAT (Remote Access Trojan) mais distribuído nos dias de hoje. A infeção de um dispositivo via este malware é desastrosa uma vez que o atacante ganha acesso remoto à máquina infetada, e coloca-o numa posicição privilegiada para executar tarefas de exfiltração de informação ou utilizar a máquina infetada como pivot para uma panóplia de ataques severos na rede/infraestrutura.
Desde o dia 19 de maio de 2020, que este RAT está a ser distribuído em Portugal utilizando templates da Polícia de Segurança Pública (PSP).
Malspam impersonating “Polícia de Segurança Pública “, distributing #NanoCore RAT in Portugal 🇵🇹
Subject: Re:Fwd:Fwd:Re:Re: Aviso de convite final
C2:
atiku2.duckdns\.org:5626 (185.165.153.28)/cc @DNPSP @CNCSgovpt pic.twitter.com/Hg3uvllru2
— abuse.ch (@abuse_ch) May 19, 2020
No corpo do email malicioso, a vítima é convidada a abrir o documento em anexo referente a uma investigação em curso – uma farsa. O malware é distribuído em anexo através de um ficheiro compactado com a extensão: .r22.
“Novo documento de investigacao policial 8468736748482020.r22”
Dentro do ficheiro compactado está disponível um PE file, o primeiro stage de infeção deste RAT. Depois de executado, o malware cria outro binário na diretoria:
C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe
Este é o 2nd stage do malware, executado através de uma schedule-task criada no sistema comprometido.
"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\bFHzjeAXZb" /XML "C:\Users\admin\AppData\Local\Temp\tmp5379.tmp"
A schedule-task é agendada no sistema com base num ficheiro XML (tmp5379.tmp) criado antecipadamente pelo malware em: C:\Users\admin\AppData\Local\Temp\tmp5379.tmp.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2014-10-25T14:27:44.8929027</Date>
<Author>USER-PC\admin</Author>
</RegistrationInfo>
<Triggers>
<LogonTrigger>
<Enabled>true</Enabled>
<UserId>USER-PC\admin</UserId>
</LogonTrigger>
<RegistrationTrigger>
<Enabled>false</Enabled>
</RegistrationTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>USER-PC\admin</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>StopExisting</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>false</AllowHardTerminate>
<StartWhenAvailable>true</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe</Command>
</Exec>
</Actions>
</Task>
A partir deste momento, o malware ganha persistencia e os criminosos têm o controlo total da máquina infetada.
É importante mencionar que o NanoCore está a ser vendido na darweb, o que permite que qualquer aspirante a criminoso pode comprar e começar a distribuir o RAT.
Hoje em dia, estas peças de malware têm sido utilizadas como primeiro vetor de intrusão. Em seguida, várias tarefas podem ser executadas pelos criminosos como, p.ex:
- Exfiltração de informação do dispositivo (credenciais, ficheiros confidenciais, etc)
- Utilização do dispositivo como pivot na rede (acesso ilegítimo a outros dispositivos)
- Proliferação de outras ameaças na rede/infraestrutura via máquina pivot;
- Deploy de outros estágios como ransomware.
Indicadores de Compromisso (IOCs)
SHA1: 6A23C6124596EFCFFE40F7E25E4D0A5504D614E1 C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe "C:\Windows\System32\schtasks.exe" /Create /TN "Updates\bFHzjeAXZb" /XML "C:\Users\admin\AppData\Local\Temp\tmp5379.tmp" --C2-- 185.165.153.28