Foram observados agentes de ameaças implantando um malware chamado NiceRAT para cooptar dispositivos infectados em uma botnet.
Os ataques, que têm como alvo usuários sul-coreanos, são projetados para propagar o malware sob o disfarce de software program crackeado, como o Microsoft Home windows, ou de ferramentas que pretendem oferecer verificação de licença do Microsoft Workplace.
“Devido à natureza dos programas de crack, o compartilhamento de informações entre usuários comuns contribui para a distribuição do malware independentemente do distribuidor inicial”, disse o AhnLab Safety Intelligence Heart (ASEC).
“Como os agentes de ameaças normalmente explicam maneiras de remover programas antimalware durante a fase de distribuição, é difícil detectar o malware distribuído.”
Vetores de distribuição alternativos envolvem o uso de uma botnet composta por computadores zumbis que são infiltrados por um trojan de acesso remoto (RAT) conhecido como NanoCore RAT, espelhando atividades anteriores que aproveitaram o malware Nitol DDoS para propagar outro malware chamado Amadey Bot.
NiceRAT é um RAT de código aberto e malware ladrão desenvolvido ativamente, escrito em Python que usa um Discord Webhook para comando e controle (C2), permitindo que os atores da ameaça desviem informações confidenciais do host comprometido.
Lançado pela primeira vez em 17 de abril de 2024, a versão atual do programa é 1.1.0. Também está disponível como versão premium, de acordo com seu desenvolvedor, sugerindo que é anunciado no modelo malware como serviço (MaaS).
O desenvolvimento ocorre em meio ao retorno de um botnet de mineração de criptomoeda conhecido como Bondnet, que foi detectado usando bots mineradores de alto desempenho como servidores C2 desde 2023, configurando um proxy reverso usando uma versão modificada de uma ferramenta legítima chamada Quick Reverse Proxy ( FRP).
