Fałszywa faktura, w środku Nanocore
![](https://cert.orange.pl/wp-content/uploads/2023/05/eb55266cfd1796b7d9b4b9d65c3431518b737ea5.png)
Uaktualnienie: Na końcu tekstu dodaliśmy informację i zrzuty ekranu, prezentujące, co potrafi NanoCore.
Na skrzynki mailowe internautów ostatnimi dniami trafia kampania, zawierająca trojana zdalnego dostępu (Remote Access Trojan, RAT) Nanocore. To złośnik, wyspecjalizowany w wykradaniu poświadczeń logowania, ale też dobierający się do dostępnych w sieci kamer IP. W opisywanej kampanii podszywa się pod fakturę z Orange Polska (włącznie ze spoofowanym adresem nadawcy (prawdziwe faktury przychodzą z niespoofowalnego e-faktura@pl.orange.com).
W otrzymanej przez nas próbce wystąpiły problemy z kodowaniem i pobraniem jednego z obrazów, nie można jednak wykluczać, że są internauci, w przypadku których wszystko było dobrze. W pliku ZIP udającym (nieudolnie) PDF znajdziemy wspomnianego Nanocore’a, komunikującego się z C&C pod adresem masterpat0nms672ns.duckdns[.]org:3498.
Dane na zrzucie wymazaliśmy nieprzypadkowo. Są to bowiem prawdziwe dane klienta i – co ciekawe – na to konto po wysyłce kampanii phishingowej… odnotowano wpłaty!
Z dwojga złego lepiej wpłacić komuś innego, niż zainfekować się malwarem, kradnącym loginy i hasła, tym niemniej zalecamy sprawdzenie numeru konta, zanim wykonacie przelew…
Co potrafi NanoCore ?
![](https://cert.orange.pl/wp-content/uploads/2023/11/image.png)
Botmaster NanoCore dzięki rozbudowanym funkcjom bez problemu może zarządzać plikami, znajdującymi się na zainfekowanym komputerze, przejąć kontrolę nad menedżerem zadać, a nawet dokonywać dowolnych modyfikacji w rejestrze systemowym, czy też uruchamiać zdalnie powłokę systemu Windows.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-1.png)
Malware posiada również inne możliwości, wśród nich otwieranie stron na komputerze użytkownika, kontrolę nad myszą, czy wysyłanie wiadomości.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-3.png)
A co, jeśli chodzi o funkcje bardziej przydatne, ale mniej spektakularne? NanoCore potrafi m.in. wykonać skrypt w wielu językach skryptowych, m.in.: Batch Script, HTML, VBS, Python, Java, czy PHP. Botmaster może też przejąć hasła, zapisane na komputerze ofiary, a nawet zarządzać dowolnie plikami za pomocą własnego menedżera plików.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-5.png)
Ciekawostką jest natomiast możliwość włączania i wyłączania lampki LED przy kamerze zainfekowanego komputera. Pozwala to przestępcy podglądać ofiarę bez świadomości, że kamera w urządzeniu jest włączona.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-4.png)
NanoCore posiada również wiele innych funkcji, jak na przykład przejmowanie poświadczeń do logowania dp Teamspeak, serwerów FileZilla, czy Steama.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-2.png)
Posiada on również możliwość podsłuchiwania użytkownika za pomocą wbudowanego w laptopa mikrofonu, podglądania go za pomocą kamery czy też przeglądania logów przeglądarki internetowej oraz podsłuchu klawiatury w czasie rzeczywistym.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-6.png)
Ciekawą funkcją jest Computer Locker. Umożliwia ona zablokowanie komputera użytkownika na hasło. Przy odpowiednim socjotechnicznym przygotowaniu przestępca, bazując na niefrasobliwości użytkownika i jego braku wiedzy może przekonać go, że ma do czynienia z ransomware.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-8.png)
Dla celu tego przypadku został specjalnie wygenerowany tekst oraz URL przedstawiający ten scenariusz, a także zdefiniowane hasło odblokowania komputera jakim jest „CERT ORANGE”.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-7.png)
A oto jak wygląda efekt zablokowania komputera zainfekowanego użytkownika podczas tej funkcji.
![](https://cert.orange.pl/wp-content/uploads/2023/11/image-9.png)