NanoCore: Un malware del tipo RAT muy utilizado para espiar a las víctimas
Qué es NanoCore
NanoCore es un malware perteneciente a la familia de los RAT (Remote Access Trojan), activo desde el 2013, que cuenta con diferentes características que le permiten a un cibercriminal realizar distintas acciones maliciosas sobre la máquina víctima. Principalmente espiar en su equipo y robar información. Según un informe la Agencia Nacional de Ciberseguridad de los Estados Unidos (CISA, por sus siglas en inglés), NanoCore es una de las variantes de malware qué más actividad registró en 2021.
Escrito con el framework Microsoft .NET, NanoCore solía ser comercializado en foros clandestinos a partir de los 25 dólares. Las principales características de este malware son su capacidad para robar archivos de la máquina de la víctima, registrar las pulsaciones del teclado, robar credenciales, grabar audio y video, entre otras.
A pesar de que hoy en día es más amplia la oferta de códigos maliciosos que son comercializadas en foros clandestinos, NanoCore sigue siendo un malware con mucha actividad. En parte esto se debe a su bajo costo, las capacidades que ofrece, así como también a la circulación de versiones crackeadas, lo que permitió que cibercriminales con pocos o ningún conocimiento en el desarrollo de códigos maliciosos tengan acceso a un malware para llevar adelante sus actividades delictivas.
Acerca del creador de NanoCore
En febrero de 2017 el creador de NanoCore, Taylor Huddleston, fue arrestado por el FBI bajo los cargos de ayuda e incitación a la intrusión informáticas. Habiéndose declarado culpable, Huddleston fue sentenciado en el 2018 a cumplir una pena de 33 meses de prisión por la creación y distribución de NanoCore en foros clandestinos.
A su vez, Huddleston fue el creador de un programa para licenciar software llamado Net Seal, el cual era utilizado por cibercriminales para poder licenciar y proteger sus propios códigos maliciosos de copias fraudulentas.
Cómo suele distribuirse NanoCore
NanoCore suele propagarse por medio de correos electrónicos de phishing. Generalmente oculto como un archivo adjunto o una URL que lleva a la víctima a la descarga de este malware.
Para aumentar la probabilidad de que una víctima abra y ejecute el contenido de alguno de estos correos, los cibercriminales utilizan distintas temáticas. Algunas de estas están relacionadas con facturas de órdenes de compra falsas, solicitudes de presupuesto falsas, entre otras. En algunos casos, se hacen pasar por empresas legítimas de logística o de envío de paquetería utilizando incluso imágenes de estas empresas en los correos.
En las siguientes capturas de pantalla podemos observar distintos ejemplos de estos correos electrónicos.
Imagen 1. Ejemplo de engaño en español que utiliza el envío de una falsa factura como excusa.
Imagen 2. Ejemplo de engaño en inglés suplantando la identidad de una empresa de envíos.
Imagen 3. Ejemplo de engaño en inglés utilizando como excusa una falsa orden de compra.
Imagen 4. Ejemplo de engaño en inglés utilizando como excusa una falsa solicitud de presupuesto.
Características de NanoCore
NanoCore es un malware modular desarrollado con el framework Microsoft .NET que afecta al sistema operativo Windows.
Es administrado desde un panel de control sobre el cual los cibercriminales pueden realizar remotamente algunas de las siguientes acciones maliciosas:
- ∙ Monitorear la actividad de sus víctimas
- ∙ Configurar el servidor controlado por los cibercriminales.
- ∙ Configurar y generar un nuevo payload de NanoCore, el cual puede estar ofuscado con la herramienta Eazfuscator.NET,
Imagen 5. Panel de control de NanoCore.
Imagen 6. Panel de control de NanoCore donde se pueden observar algunas de las acciones que se pueden realizar sobre una víctima.
Ilustración 7. Panel de control de NanoCore, donde puede verse distintas acciones a realizar sobre una víctima.
NanoCore envía información básica del equipo infectado a servidores controlados por los atacantes, como datos del sistema, consumo de recursos, antivirus instalado y nivel de privilegios. Además, puede persistir en el sistema y almacenar información sobre la actividad de la víctima.
Este malware permite a los cibercriminales controlar remotamente el equipo, ejecutar comandos y archivos, manipular procesos y el registro de Windows, robar credenciales, registrar pulsaciones de teclado, grabar audio y video, e incluso interactuar con el navegador y el mouse.
Por último, NanoCore suele distribuirse mediante loaders con múltiples capas de ofuscación, que utilizan técnicas como esteganografía, codificación y uso de código legítimo para evadir soluciones de seguridad y dificultar su análisis.
Consejos para estar protegido de NanoCore
A continuación, compartimos algunas recomendaciones para evitar ser víctima de una amenaza como esta:
– Verificar la dirección y el remitente del email antes de abrirlo.
– Revisar el contenido del mensaje, prestando atención a errores o incoherencias.
– No abrir correos ni descargar adjuntos si hay dudas sobre su origen.
– Controlar la extensión real de los archivos descargados.
– No ingresar credenciales desde enlaces recibidos por email; acceder siempre desde el sitio oficial.
– Ser prudente al descargar archivos comprimidos (.zip, .rar), incluso si la fuente parece legítima.
– Mantener sistemas, aplicaciones y soluciones de seguridad actualizadas.
Técnicas MITRE ATT&CK
A continuación incluimos algunas de las técnicas que utiliza esta amenaza que fue elaborada utilizando la versión 11 del framework ATT&CK.
| Táctica | Técnica (ID) | Nombre |
|---|---|---|
| Collection | T1123 | Audio Capture |
| T1056.001 | Input Capture: Keylogging | |
| T1125 | Video Capture | |
| Command and Control | T1105 | Ingress Tool Transfer |
| T1573.001 | Encrypted Channel: Symmetric Cryptography | |
| Defense Evasion | T1562.004 | Impair Defenses: Disable or Modify System Firewall |
| T1562.001 | Impair Defenses: Disable or Modify Tools | |
| T1027< | Obfuscated Files or Information | |
| T1112 | Modify Registry | |
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
| Discovery | T1016 | System Network Configuration Discovery |
| Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder |
| Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
Fernando Tavella