NanoCore RAT prevalece entre ciberactores con campañas de malware

Una serie de correos electrónicos maliciosos con archivos adjuntos que entregan el troyano de acceso remoto (RAT) NanoCore está evadiendo los escáneres de correo electrónico y antimalware al abusar del formato de archivo .ZIPX.

Malware Nanocore

Nanocore es una herramienta de acceso remoto (RAT) lanzada por primera vez en 2013, desde entonces han aparecido variadas versiones. El malware está escrito en el marco .NET y utiliza el Protocolo de control de transmisión (TCP) en cualquier puerto para la comunicación con su controlador.

El malware en su versión 1.2.2.0 de NanoCore cuando se ejecuta, crea copias de sí mismo en la carpeta AppData e inyecta su código malicioso en el proceso RegSvcs.exe

El malware viene con algunos complementos básicos que amplían su funcionalidad. Algunos de la amplia gama de complementos disponibles para Nanocore brindan:

• Minería de criptomonedas
• Uso compartido de pantalla.
• Robo de archivos y contraseñas y funcionalidad de registrador de teclas.

Generador de muestras

Los usuarios de malware sólo necesitan ejecutar un ejecutable de Windows para iniciar el servidor de comando y control (C2) y el generador de muestras que puede crear un binario Nanocore con la configuración deseada.

Crear un binario Nanocore desde el constructor es extremadamente fácil y se puede hacer simplemente configurando algunas opciones y haciendo clic en el botón Compilar.

Resumen de capacidades

•   Descarga y ejecuta cargas útiles adicionales.
•   Instala complementos adicionales.
•   Permite el acceso remoto.
•   Roba datos del formulario del navegador.
•   Realiza capturas de pantalla.
•   Roba las credenciales almacenadas.
•   Registra las pulsaciones de teclas.
•   Hace fotos con la webcam.

Resumen de comportamiento:

•   Utiliza un mecanismo de persistencia.
•   Cifra la comunicación del controlador.
•   Admite la escalada de privilegios.

NanoCore es un malware que se comercializa en foros clandestinos por un precio de 20 dólares. Este bajo precio combinado, como hemos visto, con un diseño centrado en la facilidad de uso, ha implicado que los ciberactores lo prefieran para sus campañas de malware.

Esto ha contribuido a la prevalencia de NanoCore durante muchos años entre numerosos actores de amenazas.

Campaña maliciosa

En una investigación encabezada por el equipo de Trustwave, detallan sobre una nueva campaña de malspam que contiene cargas maliciosas que intentan ocultar un archivo con extensión .ZIPX.

Técnicas utilizadas:

1. Suplantación de identidad: se envía un correo electrónico con un archivo adjunto malicioso a la víctima.
2. Implementación de carga útil: el usuario hace clic en el archivo adjunto y el troyano se carga en el dispositivo sin ninguna detección.
3. Compromiso del correo electrónico: se utiliza Keylogger para robar las credenciales de Office 365 y obtener acceso a información financiera y otros datos críticos para la empresa. 

Archivo adjunto

• El archivo adjunto que contiene el correo electrónico es un archivo de imagen de icono envuelto dentro de un paquete .RAR (formato de archivo de archivo patentado que admite la compresión de datos, la recuperación de errores y la extensión de archivos).
• Un archivo cargará el troyano mientras que el resto son señuelos que aseguran que el contenido malicioso pase desapercibido.
• Según investigadores de Trustwave, "Los archivos adjuntos, que tienen un formato de nombre de archivo 'NUEVO ORDEN DE COMPRA.pdf * .zipx', son en realidad archivos binarios de imagen (icono), con datos adicionales adjuntos, que resultan ser .RAR".
• Para que la carga maliciosa se pueda ejecutar el equipo de la víctima debe tener una herramienta de descompresión que pueda extraer el archivo adjunto, así como la herramienta de archivo 7Zip y WinRAR.

Ejecución del archivo

“El malware NanoCore podría instalarse en el sistema, si el usuario decide ejecutarlo y extraerlo”, explicaron los investigadores. “Todo funciona porque varias utilidades de archivo hacen todo lo posible para encontrar algo que descomprimir dentro de los archivos”.

Una versión más reciente del malware (NanoCore 1.2.2.0) cuando se ejecuta crea copias de sí mismo en la carpeta AppData e inyecta su código malicioso en el proceso RegSvcs.exe. Seguido de eso se dedica a robar datos del equipo de la víctima, incluidos datos del portapapeles, pulsaciones de teclas, documentos y archivos. NanoCore también es un troyano modular que se puede modificar para incluir complementos adicionales, ampliando su funcionalidad y rendimiento en función de las necesidades del usuario.

Panorama

La campaña de phishing reportada recientemente que propaga el troyano NanoCore es una de múltiples campañas en la que ha participado este malware especialmente vía correo electrónico. El uso de ingeniería social, utilizando un gancho plausible, logra convencer a un objetivo/víctima de abrir un archivo infectado. En este caso, los atacantes intentan utilizar formatos de archivo y convenciones de nomenclatura para evitar que el software antimalware del usuario detecte al troyano. Esta capacidad sumado a las facilidades para crear un binario Nanocore con la configuración deseada han situado a este malware dentro de los más activos durante el primer trimestre del año 2021.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.