Netskope é nomeada líder no Quadrante Mágico do Gartner® de 2024 para Security Service Edge. Obtenha o Relatório

fechar
fechar
  • Por que Netskope chevron

    Mudando a forma como a rede e a segurança trabalham juntas.

  • Nossos clientes chevron

    A Netskope atende a mais de 3.000 clientes em todo o mundo, incluindo mais de 25 das empresas da Fortune 100

  • Nossos parceiros chevron

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

Ainda mais alto em execução.
Ainda mais longe na visão.

Saiba por que o 2024 Gartner® Magic Quadrant™ nomeou a Netskope como líder em Security Service Edge pelo terceiro ano consecutivo.

Obtenha o Relatório
A Netskope foi nomeada líder no Quadrante Mágico do Gartner de 2024®™ para o gráfico Security Service Edge para menu
Ajudamos nossos clientes a estarem prontos para tudo

Veja nossos clientes
Woman smiling with glasses looking out window
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Group of diverse young professionals smiling
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Apresentando a plataforma Netskope One

O Netskope One é uma plataforma nativa da nuvem que oferece serviços convergentes de segurança e rede para permitir sua transformação SASE e zero trust.

Saiba mais sobre o Netskope One
Abstrato com iluminação azul
Adote uma arquitetura Secure Access Service Edge (SASE)

O Netskope NewEdge é a maior nuvem privada de segurança de alto desempenho do mundo e oferece aos clientes cobertura de serviço, desempenho e resiliência inigualáveis.

Conheça a NewEdge
NewEdge
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vídeo da Netskope
A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
Desenvolvendo uma Arquitetura SASE para Leigos

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Lighted highway through mountainside switchbacks
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Boat driving through open sea
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog chevron

    Saiba como a Netskope permite a transformação da segurança e da rede por meio do SSE (Security Service Edge)

  • Eventos e workshops chevron

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined chevron

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

A interseção entre confiança zero e segurança nacional
On the latest episode of Security Visionaries, co-hosts Max Havey and Emily Wearmouth sit down for a conversation with guest Chase Cunningham (AKA Dr. Zero Trust) about zero trust and national security.

Reproduzir o podcast
A interseção entre confiança zero e segurança nacional
Últimos blogs

Leia como a Netskope pode viabilizar a jornada Zero Trust e SASE por meio de recursos de borda de serviço de segurança (SSE).

Leia o Blog
Sunrise and cloudy sky
SASE Week 2023: Sua jornada SASE começa agora!

Replay das sessões da quarta SASE Week anual.

Explorar sessões
SASE Week 2023
O que é SASE?

Saiba mais sobre a futura convergência de ferramentas de redes e segurança no modelo predominante e atual de negócios na nuvem.

Saiba mais sobre a SASE
  • Empresa chevron

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Liderança chevron

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Customer Solutions chevron

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e certificação chevron

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Conheça nossa equipe
Group of hikers scaling a snowy mountain
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Conheça os Serviços Profissionais
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Group of young professionals working

LokiBot & NanoCore being distributed via ISO disk image files

Jun 25 2019
Tags
LokiBot
Malspam
malspam campaign
NanoCore
spam

Netskope Threat Research Labs has been tracking multiple similar malspam campaigns that began in  April 2019. The spam campaign contains an ISO image file as an attachment containing the next level payload. This blog post details both the campaign and the payload.

MalSpam Campaign

The malspam campaign began in April 2019, with a generic message about an invoice and an ISO disk image file attachment. The generic message indicates that the spam campaigns are not targeted toward any particular individuals or enterprises. Figure 1 below shows an example snapshot of a malspam email containing an ISO file as an attachment.

Figure 1: Malspam containing ISO file as an attachment.

We first noticed these malspam campaigns when our outbreak detection system alerted us to an unusual filetype showing up in multiple detections — the ISO disk image format. The samples were detected due to the samples of LokiBot and NanoCore that they contained. To date, we have uncovered 10 variants of this campaign, using different ISO images and emails.

Targeting such uncommon file formats gives an advantage to the malware authors as ISO files are usually allow listed from scanning in various email security solutions to improve efficiency. Also, major operating systems now have default software which automatically detects and mount the ISO image once the user clicks on it. This again makes it a preferred target for the scammers. The observed ISO files were in the size range of 1MB to 2MB which is an unusual file size for image files; usually, their sizes are in the upwards of 100MB. The image contains only one executable file embedded in it which is the actual malware payload. Instances of similar spam campaigns have been reported in the past where keyloggers and other information stealing payloads were being dropped onto the infected machines. The cases encountered during our analysis were mainly related to LokiBot and NanoCore remote administrative tools. Netskope’s advanced threat protection suit detects these files as Trojan.GenericKD.41227940 and Trojan.GenericKD.40782328.

Payload Analysis

LokiBot

There is a growing trend in using LokiBot as the delivery payload across a wide range of spam campaigns, the most recent one being reported here. The current version of Loki is similar to its previous versions, with only slight modifications in the anti-reversing techniques implemented in the bot. The sample analyzed, in this case, used the IsDebuggerPresent() function to determine if it is loaded inside a debugger. It also implemented a common anti-VM technique, measuring the computational time difference between CloseHandle() and GetProcessHeap() to detect if it is running inside a VM (the time difference will be large in case of a VM). Figure 2 shows how this looks in the disassembled code.

Figure 2: Anti-debugger check implemented in LokiBot

Once the codes for anti-reversing are patched, the malware sample unpacks it in the memory, as shown in Figure 3. The unpacked binary is an executable program coded in Visual Basic.

Figure 3: Memory section containing the unpacked binary code

Once the malware infects the system it performs the following operations:

  • Query system GUID information
  • Perform process hollowing and launch a child process.
  • Delete the parent process, leaving the child orphaned and in running state.

Once the infection process is complete, the sample then launches its stealer functions which have the capability to:

  • Probe more than 25 different web browsers to steal various browsing information.
  • Check for the presence of web or email servers running on the machine.
  • Locate credentials for 15 different email and file transfer clients.
  • Check for the presence for popular remote admin tools like SSH, VNC, and RDP.

Figure 4 below depicts a summary of malware’s behavior captured by our Advanced Heuristic analysis engine.

Figure 4: Malware behavior captured by Netskope’s Advance Heuristic Analysis.

NanoCore RAT

We have previously blogged about NanoCore RAT in a completely different campaign where cloud storage services were used to host malicious PDF documents dropping a variant of this RAT. Netskope’s advanced threat protection suit detected these files as Trojan.GenericKD.40782328. Like our previous analysis, this version of NanoCore was also built using AutoIT as a top-level wrapper for the main .NET compiled binary.

Figure 5: AutoIT code sections identified in malware sample

The decompiled AutoIT script is heavily obfuscated and constructs the actual .NET binary of the NanoCore RAT as shown in Figure 6 below.

Figure 6: AutoIT function constructing actual binary payload

The actual binary begins infecting the system by performing the following actions:

  • Tries to detect the presence of a debugger.
  • Creates mutex and performing process injection.
  • Creates persistence through registry modifications.

Once the malware gets a foothold of the machine, it begins capturing information like:

  • Captures clipboard data and monitoring keystrokes.
  • Collects information about document files on the system.
  • Connects to FTP server to upload stolen data from the system.

Figure 7 below shows the detailed analysis of the remote administrative tool captured by Netskope’s cloud sandbox. It also shows the process execution graph depicting the creation and flow of various processes associated with the sample.

Figure 7: NanoCore RAT’s analysis in Netskope’s Cloud Sandbox

Conclusion

Malspam campaign continues to mix and match various new and old techniques to stay relevant. Choosing an image file as an attachment indicates that they are intending to defeat email filters and scanners who generally allow list such file types. Use of commercially available malware payloads shows that the use of such tools has not slowed down despite crackdowns by law enforcement on individuals responsible for creating them.

Stay informed!

Subscribe for the latest from the Netskope Blog