Παράγοντες απειλής έχει παρατηρηθεί ότι αναπτύσσουν ένα κακόβουλο λογισμικό (malware) που ονομάζεται NiceRAT, με σκοπό να εντάξουν μολυσμένες συσκευές σε ένα botnet.

Οι επιθέσεις στοχεύουν χρήστες της Νότιας Κορέας και διαδίδουν το κακόβουλο λογισμικό με το πρόσχημα του cracked software (σπασμένου λογισμικού), όπως τα Microsoft Windows, ή εργαλείων που υποτίθεται ότι επαληθεύουν άδειες χρήσης για το Microsoft Office.

Διαβάστε σχετικά: Το νέο Cross-Platform «Noodle RAT» Malware στοχεύει Windows και Linux

“Η φύση των cracked προγραμμάτων, διευκολύνει την ανεξέλεγκτη διανομή κακόβουλου λογισμικού στους απλούς χρήστες,” ανέφερε το AhnLab Security Intelligence Center (ASEC). “Οι παράγοντες απειλών συχνά δίνουν οδηγίες για την απενεργοποίηση των προγραμμάτων προστασίας από κακόβουλο λογισμικό κατά τη φάση διανομής, καθιστώντας έτσι δύσκολη την ανίχνευση του διανεμημένου κακόβουλου λογισμικού.”

Οι εναλλακτικοί μέθοδοι διανομής περιλαμβάνουν τη χρήση ενός botnet με zombie υπολογιστές, στους οποίους έχει διεισδύσει ένα trojan απομακρυσμένης πρόσβασης (RAT) γνωστό ως NanoCore RAT. Αυτό αντικατοπτρίζει προηγούμενη δραστηριότητα που αξιοποίησε το κακόβουλο λογισμικό Nitol DDoS για τη διάδοση ενός άλλου κακόβουλου λογισμικού, το Amadey Bot.

Διαβάστε επίσης: Το Dora RAT Malware στοχεύει ινστιτούτα της Νότιας Κορέας

Το NiceRAT είναι ένα ανεπτυγμένο κακόβουλο λογισμικό ανοιχτού κώδικα RAT, γραμμένο σε Python, που χρησιμοποιεί ένα Discord Webhook για εντολή και έλεγχο (C2). Αυτό επιτρέπει στους παράγοντες απειλής να συλλέγουν ευαίσθητες πληροφορίες από τον παραβιασμένο κεντρικό υπολογιστή.

Κυκλοφόρησε για πρώτη φορά στις 17 Απριλίου 2024 και η τρέχουσα έκδοση του προγράμματος είναι 1.1.0. Είναι επίσης διαθέσιμο σε premium έκδοση, σύμφωνα με τον προγραμματιστή του, γεγονός που υποδηλώνει ότι προωθείται σύμφωνα με το μοντέλο κακόβουλου λογισμικού ως υπηρεσία (MaaS).

Αυτή η ανάπτυξη πραγματοποιείται μέσω της επανεμφάνισης ενός botnet εξόρυξης κρυπτονομισμάτων, γνωστού ως Bondnet, το οποίο έχει εντοπιστεί να χρησιμοποιεί τα υψηλής απόδοσης bot miner ως servers C2 από το 2023. Το Bondnet διαμορφώνει έναν αντίστροφο server διαμεσολάβησης χρησιμοποιώντας μια τροποποιημένη έκδοση ενός νόμιμου εργαλείου που ονομάζεται Fast Reverse Proxy (FRP).

Δείτε περισσότερα: Το ValleyRAT malware επανεμφανίζεται με νέες τακτικές για κλοπή δεδομένων

Πηγή: thehackernews