Procurela krekovana verzija RAT NanoCore, očekuje se porast pokušaja infekcija

Opisi virusa, 25.03.2015, 00:30 AM

Trojanci za daljinski pristup (RAT, Remote access Trojan) veoma su popularni među sajber kriminalcima koji ih koriste kao alat u ciljanim i neciljanim napadima, pa čak i u napadima na mobilne uređaje. Oni se mogu nabaviti na hakerskim forumima, a cene se kreću u rasponu od 25 do 250 dolara.

Neki od najpopularnijih alata su Blackshades, PlugX, Poison Ivy, i mnogi drugi.

Nešto manje poznati trojanac za daljinski pristup NanoCore je od kada se pojavio bio veoma jeftin i mogao se nabaviti za svega 25 dolara. Imajuću u vidu i činjenicu je nekoliko različitih verzija NanoCore procurelo u prošlosti, to je bilo dovoljno da ovaj trojanac privuče pažnju onih koji traže besplatan RAT.

Prva krekovana verzija NanoCore procurela je u decembru 2013., ali to je bila alfa verzija koja je pružala malo mogućnosti. U februaru sledeće godine procurela je beta verzija alata sa mnogo više kapaciteta i ubrzo posle toga primećen je porast detekcija NanoCore.

Posle toga je u procurelo još nekoliko verzija RAT NanoCore, ali uvek se radilo o beta verzijama, da bi početkom marta procurela full verzija sa svim premium dodacima.

Stručnjaci Symanteca koji su pratili šta se dešava sa NanoCore, pretpostavljaju da je u svim ovim slučajevima curenja, neko od kupaca objavljivao besplatno verziju alata koju je imao u rukama. Iako je ovo sasvim sigurno bilo obeshrabrujuće za autora NanoCore, on je izgleda optimista i dalje pokušava da poboljša NanoCore, objavljujući nove verzije alata, u nadi da će na kraju imati dovoljno kupaca spremnih da plate za njega.

Detekcije NanoCore nisu ograničene na određene delove sveta, već se ovaj RAT može naći širom sveta. Ipak, najveći broj detekcija zabeležen je u SAD (40%), Kanadi (14%), Singapuru (9%), a zatim i u Indiji, Velikoj Britaniji, Hong Kongu, Australiji, Japanu, Ujedinjenim Arapskim Emiratima i Nigeriji.

I curenje poslednje, kompletne verzije NanoCore (1.2.2.0) rezultiralo je povećanom upotrebom ovog alata u ciljanim i neciljanim napadima. RAT se u većini slučajeva distriburia preko malicioznih emailova.

Istraživači Symanteca uočili su ciljane napade u kojima je korišćen NanoCore koji se distribuirao preko spam emailova koji su 6. marta počeli da stižu na email adrese energetskih kompanija u Aziji i na Bliskom istoku, a emailovi su izgledali kao da ih šalje naftna kompanija iz Južne Koreje koja zaista postoji. U emailovima se nalazi RTF fajl koji iskorišćava CVE-2012-0158 ranjivost u Microsoft Windows Common Controls Active X Control a uspešan napad dovodi do infekcije računara trojancem Nancrat.

Iz Symanteca predviđaju da će u narednim nedeljama porasti broj infekcija ovim trojancem.

Krekovane verzije RAT NanoCore dostupne su ne samo iskusnim sajber kriminalcima koji mogu dobiti ovaj malver besplatno, već i početnicima koji priželjkuju da se bave sajber kriminalom. Što se NanoCore bude više koristio, veće su šanse da jednog dana bude poznat kao i neki od alata za daljinski pristup koji su se pojavili pre njega. Ali ostaje pitanje da li će autor NanoCore RAT uspeti da zaradi od njegovog razvoja ili će izgubljeni prihod zbog piraterije biti cena uspeha NanoCore.