O Nanocore RAT está a ser distribuído em Portugal através de uma campanha de malspam em nome da Polícia de Segurança Pública (PSP).

O malware NanoCore é um dos RAT (Remote Access Trojan) mais distribuído nos dias de hoje. A infeção de um dispositivo via este malware é desastrosa uma vez que o atacante ganha acesso remoto à máquina infetada, e coloca-o numa posicição privilegiada para executar tarefas de exfiltração de informação ou utilizar a máquina infetada como pivot para uma panóplia de ataques severos na rede/infraestrutura.

Desde o dia 19 de maio de 2020, que este RAT está a ser distribuído em Portugal utilizando templates da Polícia de Segurança Pública (PSP).

 

No corpo do email malicioso, a vítima é convidada a abrir o documento em anexo referente a uma investigação em curso – uma farsa. O malware é distribuído em anexo através de um ficheiro compactado com a extensão: .r22.

Novo documento de investigacao policial 8468736748482020.r22

Dentro do ficheiro compactado está disponível um PE file, o primeiro stage de infeção deste RAT. Depois de executado, o malware cria outro binário na diretoria:

C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe

 

Este é o 2nd stage do malware, executado através de uma schedule-task criada no sistema comprometido.

"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\bFHzjeAXZb" /XML "C:\Users\admin\AppData\Local\Temp\tmp5379.tmp"

 

A schedule-task é agendada no sistema com base num ficheiro XML (tmp5379.tmp) criado antecipadamente pelo malware em: C:\Users\admin\AppData\Local\Temp\tmp5379.tmp.

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2014-10-25T14:27:44.8929027</Date>
    <Author>USER-PC\admin</Author>
  </RegistrationInfo>
  <Triggers>
    <LogonTrigger>
      <Enabled>true</Enabled>
      <UserId>USER-PC\admin</UserId>
    </LogonTrigger>
    <RegistrationTrigger>
      <Enabled>false</Enabled>
    </RegistrationTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>USER-PC\admin</UserId>
      <LogonType>InteractiveToken</LogonType>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>StopExisting</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>false</AllowHardTerminate>
    <StartWhenAvailable>true</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe</Command>
    </Exec>
  </Actions>
</Task>

 

A partir deste momento, o malware ganha persistencia e os criminosos têm o controlo total da máquina infetada.

É importante mencionar que o NanoCore está a ser vendido na darweb, o que permite que qualquer aspirante a criminoso pode comprar e começar a distribuir o RAT.

Hoje em dia, estas peças de malware têm sido utilizadas como primeiro vetor de intrusão. Em seguida, várias tarefas podem ser executadas pelos criminosos como, p.ex:

  • Exfiltração de informação do dispositivo (credenciais, ficheiros confidenciais, etc)
  • Utilização do dispositivo como pivot na rede (acesso ilegítimo a outros dispositivos)
  • Proliferação de outras ameaças na rede/infraestrutura via máquina pivot;
  • Deploy de outros estágios como ransomware.

 

Indicadores de Compromisso (IOCs)

SHA1: 6A23C6124596EFCFFE40F7E25E4D0A5504D614E1
C:\Users\admin\AppData\Roaming\bFHzjeAXZb.exe

"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\bFHzjeAXZb" /XML "C:\Users\admin\AppData\Local\Temp\tmp5379.tmp"

--C2--
185.165.153.28