Rilevate evidenze di nuova variante Nanocore RAT disponibile gratuitamente sul dark web

28/08/2019

malware nanocore rat windows

Image from Symantec Blogs

I ricercatori di LMNTRIX Labs hanno osservato che, nonostante il creatore del noto RAT denominato “NanoCore” sia stato condannato a 33 mesi di prigione l’anno scorso, il suo progetto continua a sopravvivere. Il malware, infatti, è stato rilasciato gratuitamente sul Dark Web con un’apposito post, pubblicato l’8 aprile di quest’anno e scritto in lingua tedesca, che elenca una serie di RAT disponibili per il download gratuito. L’autore fornisce collegamenti a diverse altre varianti di malware di tipo RAT e non, per NanoCore si tratterebbe di una nuova versione (v1.2.2) che consente di compiere diverse azioni da remoto tra cui:

  • Spegnimento e riavvio del PC
  • Esplorazione dei file salvati
  • Accesso e controllo del Task manager (Gestione attività)
  • Modifica dell’editor di registro di sistema
  • Controllo del mouse
  • Apertura di pagine web
  • Disattivazione del LED che indica l’uso della webcam
  • Cattura di audio e video
  • Rilevamento di password e credenziali di login

NanoCore è distribuito principalmente con attacchi di phishing via e-mail: molte delle campagne in corso che distribuiscono il malware sono progettate per apparire come fatture o ordini di acquisto con nomi di allegati progettati per invogliare ad aprire gli allegati. 

I ricercatori del LMNTRX Cyber Defense Centre hanno osservato una forte diffusione di questo malware negli ultimi mesi, questo incremento è probabilmente amplificato anche dal rilascio gratuito del RAT.

Il CERT-PA ha rilevato campagne e analizzato casi con impatto verso l’Italia dandone visione tramite le seguenti comunicazioni:

 

Indicatori di compromissione

Si riportano gli IoC riferibili a NanoCore RAT rilevati da canali CLOSINT con impatto diretto sul territorio italiano con riferimento temporale dal 20 al 28 Agosto 2019. La lista in allegato non include quelli individuati dai ricercatori di LMNTRIX Labs.

  • IoC (.txt) – IP, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr