Nueva variante de Nanocore RAT disponible en la Dark Web

30 Agosto 2019
Alto

Investigaciones realizadas por “LMNTRIX Labs” demostraron que Remote Access Troyan (RAT) NanoCore sigue mutando y sobreviviendo en la internet a pesar de que su creador fue sentenciado a 33 meses de prisión. De manera excepcional, su código fue liberado de manera gratuita por su creador en la Dark Web, proporcionando a la comunidad un malware cuyas características es enlazar conexiones con otras variantes de malware, que incluyen Babylon RAT y Echo RAT.

Actualmente, Nanocore RAT está en su versión 1.2.2, escrita en C# y es potencial a controlar el apagado y reinicio de la computadora infectada, Remote Computer Locker con cifrado personalizado (como ransomware), Proxy Inverso Remoto, recuperar contraseñas de forma remota, entre otras cosas.

Una vez descargado de Dark Web, el NanoCore RAT se controla a través de una interfaz fácil de usar. Esto reduce la barrera de entrada y permite que incluso los piratas informáticos más aficionados utilicen sus correos electrónicos y comiencen sus propias campañas.

Una de estas campañas actuales utiliza TTP muy comunes, ya que emplea la infección a través del correo phishing y documentos de Word con macros. Los correos electrónicos de phishing están dirigidos a la dirección de correo administrativo de una organización y son falsificados para parecerse a facturas u órdenes de compra. Los nombres de los archivos adjuntos suelen ser "URGENT.doc" o "PO URGENT.doc".

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Evitar instalar programas de sitios que no sean oficiales.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #nanocorerat #rat #malware #correoelectronico #c2 #windows #malspam #darkweb


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.