Morphisec Labs виявила нові методи доставки NanoCore RAT 1.2.2.0 — одного з найскладніших віддалених троянів, що викрадає паролі, історію браузера та дані.

Як це працює?

Метод 1: Зловмисники використовують AutoIT (перейменований як cxf.exe) для виконання скрипта (ufj=ked), який читає конфігурацію з файлу (qnb.jpg) та інжектує NanoCore у RegSvcs.exe через RunPE.
Метод 2: PowerShell завантажує NanoCore з Pastebin, використовуючи .NET інжектор для холловінгу в MSBuild.
Метод 3: Скомпільований AutoIT-екзешник із PDF-розширенням обходить UAC, додає персистентність та інжектує NanoCore через складні шелкоди.

Що загрожує? Несанкціонований доступ, викрадення даних і розширення атак через плагіни.

Як захиститися?

-Уникайте підозрілих вкладень у листах та посилань.
-Використовуйте захист, як-от Morphisec Moving Target Defense, для блокування безфайлових атак.
-Обмежте виконання скриптів AutoIT та PowerShell.
-Оновлюйте антивірусне ПЗ та слідкуйте за процесами.

NanoCore еволюціонує, використовуючи безфайлові методи. Захищайте свої системи!