nanocore-rat - RunkIntel

# NanoCore RAT > [!high] RAT MaaS Versátil — Um dos Mais Distribuídos desde 2013 > NanoCore RAT é um Remote Access Trojan para Windows desenvolvido em 2013 e vendido como Malware-as-a-Service (MaaS) em fóruns underground. Apesar de ser antigo, continua amplamente usado em campanhas de phishing globais por sua facilidade de uso, baixo custo e extensa documentação disponível online. ## Visão Geral O NanoCore RAT é um dos RATs Windows mais longevos e distribuídos em atividade, desenvolvido originalmente por Taylor Huddleston em 2013 e vendido em fóruns de cibercrime por cerca de US$ 25. Após a prisão do autor em 2017 e o vazamento do código-fonte, o NanoCore tornou-se amplamente disponível gratuitamente, amplificando sua adoção por atores de todos os níveis de sofisticação. O NanoCore oferece controle remoto completo do sistema comprometido via arquitetura plugin: funcionalidades como keylogger, acesso a câmera e microfone, captura de tela, acesso a arquivos e shell remoto são adicionados como plugins separados. Esta flexibilidade permite que operadores customizem o RAT para suas necessidades específicas. A distribuição ocorre principalmente via phishing com anexos Office maliciosos, documentos PDF e executáveis disfarçados. O NanoCore é frequentemente observado em campanhas de cibercrime financeiro, espionagem industrial de baixo nível e ataques a pequenas e médias empresas globalmente. > [!latam] Relevância para o Brasil e LATAM > O NanoCore é frequentemente observado em campanhas de phishing que atingem empresas brasileiras, especialmente via emails com temas fiscais (Nota Fiscal, SEFAZ, Receita Federal) ou de logística. O [[financial|setor financeiro]], PMEs e empresas de **manufatura** no Brasil devem incluir o NanoCore em sua lista de ameaças prioritárias. A facilidade de personalização e o baixo custo tornam-no uma escolha comum de grupos de cibercrime regionais. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução e persistência | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogging via plugin | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela via plugin | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS para comunicação C2 | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de plugins adicionais | | Persistence | [[t1543-003-windows-service\|T1543.003]] | Persistência via serviço ou registro | ## Detecção - Regras YARA disponíveis amplamente para detecção de strings do NanoCore em binários - Monitorar conexões TCP de processos não reconhecidos na porta 54321 (padrão NanoCore C2) - Detectar criação de entradas de registro de execução automática por processos suspeitos - Analisar tráfego de rede para padrões de protocolo proprietário do NanoCore ## Referências - [CISA - NanoCore Malware Alert](https://www.cisa.gov/uscert/ncas/alerts/TA17-293A) - [Malpedia - NanoCore](https://malpedia.caad.fkie.fraunhofer.de/details/win.nanocore) - [ANY.RUN - NanoCore Analysis](https://any.run/malware-trends/nanocore)