NanoCore - это троянец удаленного доступа или RAT. Эта вредоносная программа обладает высокой степенью настраиваемости благодаря плагинам, которые позволяют злоумышленникам адаптировать ее функциональность под свои нужды. Nanocore создан с использованием фреймворка .NET и доступен для приобретения всего за $25 на "официальном" сайте.
Что такое вредоносная программа NanoCore?
NanoCore - это троянец удаленного доступа или RAT. Эта вредоносная программа обладает высокой степенью настраиваемости благодаря плагинам, которые позволяют злоумышленникам адаптировать ее функциональность под свои нужды. Nanocore создан с использованием фреймворка .NET и доступен для приобретения всего за $25 на "официальном" сайте.
Впервые эта вредоносная программа была зафиксирована в дикой природе в 2013 году. С тех пор она стала чрезвычайно популярной. Сейчас она используется в атаках по всему миру. Поскольку NanoCore является модульным вредоносным ПО, его функциональность может быть значительно расширена с помощью плагинов. Это делает и без того опасный RAT потенциально еще более разрушительным для кибербезопасности компании.
Распространяемая на собственном сайте с круглосуточной технической поддержкой всего за $25 со всеми официальными плагинами в комплекте, вредоносная программа также может быть загружена с хакерских форумов, где неоднократно происходила утечка ее "взломанной" версии, что делает ее чрезвычайно доступным трояном для установки и использования. К сожалению, доступность, простота использования и обилие информации о NanoCore все еще способствуют росту его популярности. До конца не ясно, разрабатывалась ли эта вредоносная программа как коммерческая программа для учреждений, или ее создатель с самого начала ставил перед собой цель создать вредоносное программное обеспечение, однако автор NanoCore Тейлор Хаддлстон был выслежен и арестован ФБР.
Общая информация о NanoCore RAT
Согласно проведенному анализу, первая бета-версия NanoCore появилась в 2013 году. Последняя версия вредоносной программы открыто продается на собственном сайте NANOCORE_dot_io. К сожалению, это помогло обеспечить высокую популярность вредоносной программы. Сегодня NanoCore RAT атакует жертв по всему миру. Однако большинство атак происходит в США.
Одной из ключевых особенностей этой RAT является то, что технически подкованные злоумышленники могут значительно расширить функциональность вредоносной программы, доработав ее под свои нужды, например, добавив в вирус функцию блокировщика экрана. Некоторые необходимые плагины уже поставляются в комплекте с покупкой на "официальном" сайте. Другие, еще более сложные, разрабатываются сообществом киберпреступников, которое сформировалось вокруг NanoCore.
Для мошенников, которые не хотят возиться с плагинами, NanoCore предоставляет простой пользовательский интерфейс, позволяющий даже начинающим преступникам запускать потенциально разрушительные вредоносные кампании. Это еще больше способствует популярности вредоносной программы.
Как распространяется NanoCore?
NanoCore RAT распространяется с помощью нескольких методов. Однако наиболее часто используются спам-рассылки по электронной почте. Они обманом заставляют пользователей загружать вредоносные документы, часто представленные в виде прайс-листов или заказов на поставку.
Письма иногда содержат вредоносные вложения с расширением .img или .iso. Большой размер этих файлов затрудняет их сканирование. Некоторые версии вредоносных программ также распространяются с помощью ZIP-файла, который обходит защищенные почтовые шлюзы. Здесь работает несколько файловых структур: один файл-скрипт загружает полезную нагрузку, а остальные являются приманками, благодаря которым вредоносное содержимое остается незамеченным системой безопасности.
Файлы PowerPoint работают по тому же сценарию, поскольку цепочка заражения проходит несколько этапов, прежде чем будет выполнена конечная полезная нагрузка.
Процесс выполнения NanoCore RAT
NanoCore доставляется на ПК жертвы с помощью программы AutoIt. Это не похоже на вредоносную программу Agent Tesla, что в некоторой степени типично для данного типа RAT. Как правило, NanoCore распространяется с помощью документов Microsoft Word. Зараженные файлы содержат встроенный исполняемый файл или эксплойт.
Согласно анализу RAT, после открытия файла сценария встроенный макрос загружает исполняемый файл сценария и переименовывает его. Загруженный исполняемый файл запускается сам и создает дочерний процесс. Вредоносная программа способна использовать Regsvcs и Regasm для прокси-исполнения кода через доверенную утилиту Windows.
Заключение
Благодаря доступности, простоте использования, настройке и большому количеству информации популярность NanoCore возросла, сделав его одной из самых распространенных RAT в мире. Несмотря на то, что создатель NanoCore был арестован официальными органами в связи с появлением нескольких взломанных версий, NanoCore все еще находится в открытом доступе на хакерских форумах.
Часто его можно приобрести бесплатно, что позволяет любому желающему организовывать атаки. Популярности вредоносной программы способствует и то, что для использования этого троянца не требуется особых знаний в области программирования, поскольку он оснащен удобным интерфейсом. В то же время умелые хакеры могут проводить с помощью NanoCore RAT очень сложные и разрушительные атаки, поскольку его вредоносные возможности могут быть расширены с помощью пользовательских плагинов.