Malware mira sul-coreanos
17 de Junho de 2024

Atores de ameaças foram observados implantando um malware chamado NiceRAT para cooptar dispositivos infectados em uma botnet.

Os ataques, que têm como alvo usuários na Coreia do Sul, são projetados para propagar o malware sob o pretexto de software crackeado, como o Microsoft Windows, ou ferramentas que alegam oferecer verificação de licença para o Microsoft Office.

"Devido à natureza dos programas crackeados, o compartilhamento de informações entre usuários comuns contribui para a distribuição do malware independentemente do distribuidor inicial", disse o AhnLab Security Intelligence Center (ASEC).

Como os atores de ameaças geralmente explicam maneiras de remover programas anti-malware durante a fase de distribuição, fica difícil detectar o malware distribuído. Vetores de distribuição alternativos envolvem o uso de uma botnet composta por computadores zumbis que são infiltrados por um remote access trojan (RAT) conhecido como NanoCore RAT, espelhando atividades anteriores que aproveitavam o malware de DDoS Nitol para propagar outro malware conhecido como Amadey Bot.

O NiceRAT é um RAT open-source e malware tipo stealer escrito em Python que utiliza um Discord Webhook para comando-e-controle (C2), permitindo que os atores de ameaça sifonem informações sensíveis do host comprometido.

Lançado pela primeira vez em 17 de abril de 2024, a versão atual do programa é a 1.1.0.

Está também disponível uma versão premium, segundo seu desenvolvedor, sugerindo que é anunciado sob o modelo de malware-as-a-service (MaaS).

Esse desenvolvimento ocorre em meio ao retorno de uma botnet de mineração de criptomoedas conhecida como Bondnet, que vem sendo detectada usando os bots mineradores de alto desempenho como servidores C2 desde 2023, configurando um proxy reverso usando uma versão modificada de uma ferramenta legítima chamada Fast Reverse Proxy (FRP).

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...