O malware NanoCore é um dos RAT (Remote Access Trojan) mais distribuído nos dias de hoje. A infeção de um dispositivo via este malware é desastrosa uma vez que o atacante ganha acesso remoto à máquina infetada, e coloca-o numa posicição privilegiada para executar tarefas de exfiltração de informação ou utilizar a máquina infetada como pivot para uma panóplia de ataques severos na rede/infraestrutura.
Desde o dia 19 de maio de 2020, que este RAT está a ser distribuído em Portugal utilizando templates da Polícia de Segurança Pública (PSP).
Malspam impersonating “Polícia de Segurança Pública “, distributing #NanoCore RAT in Portugal 🇵🇹
Subject: Re:Fwd:Fwd:Re:Re: Aviso de convite final
C2:
atiku2.duckdns\.org:5626 (185.165.153.28)/cc @DNPSP @CNCSgovpt pic.twitter.com/Hg3uvllru2
— abuse.ch (@abuse_ch) May 19, 2020
No corpo do email malicioso, a vítima é convidada a abrir o documento em anexo referente a uma investigação em curso – uma farsa. O malware é distribuído em anexo através de um ficheiro compactado com a extensão: .r22.
“Novo documento de investigacao policial 8468736748482020.r22”
Dentro do ficheiro compactado está disponível um PE file, o primeiro stage de infeção deste RAT. Depois de executado, o malware cria outro binário na diretoria:
C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe
Este é o 2nd stage do malware, executado através de uma schedule-task criada no sistema comprometido.
"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\bFHzjeAXZb" /XML "C:\Users\admin\AppData\Local\Temp\tmp5379.tmp"
A schedule-task é agendada no sistema com base num ficheiro XML (tmp5379.tmp) criado antecipadamente pelo malware em: C:\Users\admin\AppData\Local\Temp\tmp5379.tmp.
<?xml version="1.0" encoding="UTF-16"?> <Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> <RegistrationInfo> <Date>2014-10-25T14:27:44.8929027</Date> <Author>USER-PC\admin</Author> </RegistrationInfo> <Triggers> <LogonTrigger> <Enabled>true</Enabled> <UserId>USER-PC\admin</UserId> </LogonTrigger> <RegistrationTrigger> <Enabled>false</Enabled> </RegistrationTrigger> </Triggers> <Principals> <Principal id="Author"> <UserId>USER-PC\admin</UserId> <LogonType>InteractiveToken</LogonType> <RunLevel>LeastPrivilege</RunLevel> </Principal> </Principals> <Settings> <MultipleInstancesPolicy>StopExisting</MultipleInstancesPolicy> <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries> <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> <AllowHardTerminate>false</AllowHardTerminate> <StartWhenAvailable>true</StartWhenAvailable> <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> <IdleSettings> <StopOnIdleEnd>true</StopOnIdleEnd> <RestartOnIdle>false</RestartOnIdle> </IdleSettings> <AllowStartOnDemand>true</AllowStartOnDemand> <Enabled>true</Enabled> <Hidden>false</Hidden> <RunOnlyIfIdle>false</RunOnlyIfIdle> <WakeToRun>false</WakeToRun> <ExecutionTimeLimit>PT0S</ExecutionTimeLimit> <Priority>7</Priority> </Settings> <Actions Context="Author"> <Exec> <Command>C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe</Command> </Exec> </Actions> </Task>
A partir deste momento, o malware ganha persistencia e os criminosos têm o controlo total da máquina infetada.
É importante mencionar que o NanoCore está a ser vendido na darweb, o que permite que qualquer aspirante a criminoso pode comprar e começar a distribuir o RAT.
Hoje em dia, estas peças de malware têm sido utilizadas como primeiro vetor de intrusão. Em seguida, várias tarefas podem ser executadas pelos criminosos como, p.ex:
- Exfiltração de informação do dispositivo (credenciais, ficheiros confidenciais, etc)
- Utilização do dispositivo como pivot na rede (acesso ilegítimo a outros dispositivos)
- Proliferação de outras ameaças na rede/infraestrutura via máquina pivot;
- Deploy de outros estágios como ransomware.
Indicadores de Compromisso (IOCs)
SHA1: 6A23C6124596EFCFFE40F7E25E4D0A5504D614E1 C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe "C:\Windows\System32\schtasks.exe" /Create /TN "Updates\bFHzjeAXZb" /XML "C:\Users\admin\AppData\Local\Temp\tmp5379.tmp" --C2-- 185.165.153.28
Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks. He is also Freelance Writer.
Read more here.