概要
NanoCore 遠程訪問木馬 (RAT) 於 2013 年首次在地下論壇上出售時被發現。該惡意軟件具有多種功能,例如鍵盤記錄器、密碼竊取器,可以遠程將數據傳遞給惡意軟件操作員。它還能夠篡改和查看來自網絡攝像頭的鏡頭、屏幕鎖定、下載和盜竊文件等。
當前的 NanoCore RAT 正在通過利用社會工程的惡意垃圾郵件活動傳播,其中電子郵件包含虛假的銀行付款收據和報價請求。這些電子郵件還包含帶有 .img 或 .iso 擴展名的惡意附件。磁盤映像文件使用 .img 和 .iso 文件來存儲磁盤或光盤的原始轉儲。另一個版本的 NanoCore 也在利用特製 ZIP 文件的網絡釣魚活動中分發,該 ZIP 文件旨在繞過安全電子郵件網關。某些版本的 PowerArchiver、WinRar 和較舊的 7-Zip 可以提取惡意 ZIP 文件。被盜信息被發送到惡意軟件攻擊者的命令和控制 (C&C) 服務器。
此 RAT 收集以下數據並將其發送到其服務器:
- 瀏覽器的用戶名和密碼
- 文件傳輸協議 (FTP) 客戶端或文件管理器軟件存儲的帳戶信息
- 流行郵件客戶端的電子郵件憑據
能力:
- 信息竊取
- 後門命令
- 漏洞利用
- 禁用使用能力
影響:
- 危害系統安全 – 具有可以執行惡意命令的後門功能
- 侵犯用戶隱私 – 收集用戶憑據、記錄擊鍵並竊取用戶信息
感染詳情:
樣本垃圾郵件 – 銀行付款收據附件垃圾郵件
MITRE ATT & CK 矩陣
資料來源:https://success.trendmicro.com/tw/solution/1122912-nanocore-malware-information
