分類: Information Security

概要

NanoCore 遠程訪問木馬 (RAT) 於 2013 年首次在地下論壇上出售時被發現。該惡意軟件具有多種功能，例如鍵盤記錄器、密碼竊取器，可以遠程將數據傳遞給惡意軟件操作員。它還能夠篡改和查看來自網絡攝像頭的鏡頭、屏幕鎖定、下載和盜竊文件等。

當前的 NanoCore RAT 正在通過利用社會工程的惡意垃圾郵件活動傳播，其中電子郵件包含虛假的銀行付款收據和報價請求。這些電子郵件還包含帶有 .img 或 .iso 擴展名的惡意附件。磁盤映像文件使用 .img 和 .iso 文件來存儲磁盤或光盤的原始轉儲。另一個版本的 NanoCore 也在利用特製 ZIP 文件的網絡釣魚活動中分發，該 ZIP 文件旨在繞過安全電子郵件網關。某些版本的 PowerArchiver、WinRar 和較舊的 7-Zip 可以提取惡意 ZIP 文件。被盜信息被發送到惡意軟件攻擊者的命令和控制 (C&C) 服務器。

此 RAT 收集以下數據並將其發送到其服務器：

• 瀏覽器的用戶名和密碼
• 文件傳輸協議 (FTP) 客戶端或文件管理器軟件存儲的帳戶信息
• 流行郵件客戶端的電子郵件憑據

能力：

• 信息竊取
• 後門命令
• 漏洞利用
• 禁用使用能力

影響：

• 危害系統安全 – 具有可以執行惡意命令的後門功能
• 侵犯用戶隱私 – 收集用戶憑據、記錄擊鍵並竊取用戶信息

感染詳情：

樣本垃圾郵件 – 銀行付款收據附件垃圾郵件

MITRE ATT & CK 矩陣

資料來源：https://success.trendmicro.com/tw/solution/1122912-nanocore-malware-information