NewCore RAT

Os analistas de malware estão recebendo relatórios de um RAT (Trojan de Acesso Remoto) que foi vinculado a um grupo criminoso que opera na China. Este grupo APT (Ameaça Persistente Avançada) é conhecido como 1937CN e usa uma grande variedade de ameaças de malware em seus ataques, e um deles é o NewCore RAT. O NewCore RAT começou a ganhar popularidade em outros ataques e foi visto em ataques contra dispositivos e redes governamentais no Vietnã.

Qual é o Objetivo dos Ataques do NewCore RAT

Os ataques NewCore RAT que foram vinculados ao grupo 1937CN têm se aproveitado de uma vulnerabilidade no Microsoft Office que é conhecida como 'CVE-2012-0158', que aproveita os arquivos RTF corrompidos usados para instalar um código inválido na vítima. computador. Quando os usuários de computador que não têm uma versão atualizada do Microsoft Office abrem esses arquivos RTF corrompidos, eles exploram uma vulnerabilidade conhecida que permite que o NewCore RAT seja instalado no computador da vítima. Para fazer isso, um Trojan Downloader primeiro faz alterações nas configurações do computador infectado para permitir que ele ganhe persistência no dispositivo infectado. Este Trojan Downloader se conectará a um servidor de Comando e Controle, retransmitirá informações sobre o dispositivo infectado e baixará instruções adicionais. O NewCore RAT usa essas instruções, que criptografa usando o XOR, para executar o ataque NewCore RAT no computador da vítima.

Detalhando a Ameaça NewCore RAT

A ameaça NewCore RAT pode ser usada para uma grande variedade de operações prejudiciais em computadores infectados. Isso permite que os criminosos realizem operações no computador infectado quase como se estivessem fisicamente sentados no terminal. Usando este acesso, os criminosos podem realizar inúmeros ataques. O NewCore RAT recebeu seu nome porque o nome do projeto estava associado a essa ameaça de malware, que também revelou que ele foi compilado em 16 de março de 2017. O NewCore RAT é entregue na forma de um arquivo DLL corrompido que opera no computador da vítima. O NewCore RAT não funciona sem o downloader do Trojan associado e o servidor de Comando e Controle. Pesquisadores de segurança do PC estudaram o NewCore RAT e determinaram que o NewCore RAT pode ser usado para realizar as seguintes operações:

• O NewCore RAT pode ser usado para desligar o computador infectado.
• O NewCore RAT pode ser usado para reinicializar o dispositivo infectado.
• O NewCore RAT pode fornecer aos criminosos uma lista de todas as unidades no dispositivo infectado.
• O NewCore RAT pode fornecer aos criminosos uma lista de todos os diretórios no dispositivo infectado.
• O NewCore RAT pode ser usado para obter informações sobre arquivos específicos no computador infectado.
• O NewCore RAT pode ser usado para obter informações sobre diferentes unidades conectadas ao dispositivo infectado.
• O NewCore RAT pode ser usado para realizar uma ampla variedade de operações de arquivos. Usando o NewCore RAT, os criminosos podem renomear arquivos, copiar dados e executar arquivos diferentes. Essas operações podem ser usadas para executar softwares diferentes no dispositivo infectado, espionar a vítima ou realizar outras operações de malware.
• O NewCore RAT pode ser usado para entregar malware ao computador infectado, já que uma de suas operações é permitir que o invasor carregue arquivos no dispositivo infectado.
• O NewCore RAT pode ser usado para baixar quaisquer arquivos do dispositivo infectado, permitindo que os criminosos coletem dados e os enviem para seu servidor de Comando e Controle.
• O NewCore RAT pode ser usado para iniciar um shell de comando no dispositivo infectado.
• O NewCore RAT pode ser usado para monitorar a tela do computador infectado, para espionar a vítima.